Ipinahayag ng $292M na pagsasamantala sa rsETH ang mga panganib sa cross-chain, na nagpilit sa pagpapasara ng Kelp at pag-freeze ng merkado ng Aave dahil sa mga alalahanin sa masamang utang.
Isang pangunahing paglabag sa seguridad ang tumama sa Kelp DAO, na nag-iwan sa protocol na nagugulumihanan matapos ang isang malawakang pagsasamantala sa cross-chain. Maagang Sabado, inubos ng isang umaatake ang malaking bahagi ng suplay ng rsETH nito sa pamamagitan ng isang pinaghihinalaang kahinaan sa LayerZero. Itinuturo ng on-chain data ang isang maingat na inihandang operasyon na kinasasangkutan ng mga tool sa obfuscation at mga target na tawag sa kontrata. Mabilis na sumunod ang mga reaksyon sa merkado, na may mga epektong domino sa mga kaugnay na platform ng DeFi.
Ipinahinto ng Kelp DAO ang Protocol Matapos ang Tangkang $292M na Pagsasamantala sa Cross-Chain
Humigit-kumulang 116,500 rsETH, na nagkakahalaga ng malapit sa $292 milyon sa kasalukuyang mga presyo, ang kinuha ng mga umaatake. Ipinakikita ng mga rekord sa blockchain na ang pag-ubos ay naganap sa 17:35 UTC sa pamamagitan ng isang tawag sa function na “lzReceive” sa kontrata ng EndpointV2 ng LayerZero. Ang tawag na iyon ang nag-trigger sa sistema ng tulay ng Kelp na maglabas ng pondo nang direkta sa isang adres na kontrolado ng umaatake.
Ang pondo para sa pagsasamantala ay nagsimula mga 10 oras ang nakalipas. Ginamit ng umaatake ang 1-ETH pool ng Tornado Cash, isang pamamaraan na kadalasang nauugnay sa obfuscation ng transaksyon. Maikling panahon matapos ang paglabag, itinuro ng imbestigador sa blockchain na si ZachXBT ang insidente, na tinatantya ang mga pagkalos na higit sa $280 milyon sa kabuuan ng Ethereum at Arbitrum.
Tumugon ang Kelp DAO sa loob ng isang oras, kung saan pinatupad ng emergency multisig nito ang isang function na “pauseAll” sa mga pangunahing kontrata. Kabilang sa mga sistemang naapektuhan ang LRT Deposit Pool, withdrawal module, oracle, at ang rsETH token mismo. Ang hakbang na iyon ay huminto sa karagdagang pinsala at pumigil sa mga karagdagang pag-withdraw.
Dalawang sumunod na tangka ng umaatake ay nabigo. Ang mga transaksyon sa 18:26 at 18:28 UTC ay nagtangkang umubos ng isa pang 40,000 rsETH, na nagkakahalaga ng mga $100 milyon. Parehong tinanggihan dahil sa naka-pause na estado ng protocol. Kung wala ang interbensyong iyon, ang kabuuang pagkalugi ay maaaring umabot malapit sa $391 milyon.
Earlier today we identified suspicious cross-chain activity involving rsETH. We have paused rsETH contracts across mainnet and several L2s while we investigate.
We are working with @LayerZero_Core, @unichain, our auditors and top security experts on RCA.
We will keep you…
— Kelp (@KelpDAO) April 18, 2026
Kinumpirma ng Kelp kalaunan ang “kahina-hinalang aktibidad sa cross-chain” sa isang pampublikong pahayag na nai-post sa 20:10 UTC. Sinabi ng koponan na pinahinto nito ang mga kontrata sa buong mainnet at maraming network ng Layer 2 habang iniimbestigahan. Kasalukuyang isinasagawa ang pakikipagtulungan sa LayerZero, Unichain, mga auditor, at mga panlabas na espesyalista sa seguridad.
Ipinahinto ng Aave ang mga Merkado ng rsETH Matapos Magdulot ng Takot sa Masamang Utang ang Pagsasamantala sa Tulay ng Kelp
Nakatuon na ang pansin sa Omnichain Fungible Token bridge ng Kelp. Ang sistemang iyon ay nagpapahintulot sa mga transfer ng rsETH sa iba’t ibang network at tila sentral sa landas ng pagsasamantala. Ang ninakaw na halaga ay kumakatawan sa humigit-kumulang 18% ng circulating supply ng rsETH, na tinatayang 630,000 token. Ang asset ay gumagana sa mahigit 20 network, kabilang ang Arbitrum, Base, at Scroll.
Kumalat ang mga alon ng pagkabigla sa iba pang mga protocol, lalo na sa mga merkado ng pagpapautang. Bumagsak ng mga 10% ang AAVE kasunod ng mga ulat na maaaring harapin ng platform ang pagkakalantad sa masamang utang na nauugnay sa mga posisyon sa rsETH. Bilang tugon, ipinahinto ng Aave ang mga merkado ng rsETH sa parehong mga deployment ng V3 at V4.
The rsETH markets on Aave V3 and Aave V4 have been frozen. Aave's contracts have not been exploited and this is an exploit related to rsETH.
The freeze follows an exploit of the Kelp DAO rsETH bridge. Freezing the rsETH markets prevents new deposits and borrowing against rsETH…
— Aave (@aave) April 18, 2026
Pinalinaw ng Aave na hindi nakompromiso ang mga smart contract nito. Sa halip, ang isyu ay nagmumula sa rsETH mismo. Sinusuri na ngayon ng koponan ang aktibidad ng paghiram na kaugnay ng pagsasamantala. Ang mga paunang pahayag ay tumukoy sa potensyal na paggamit ng module ng kaligtasan ng Umbrella, bagaman pinalambot ng mga sumusunod na update ang paninindigan na iyon. Sinasabi na ngayon ng Aave na susuriin nito ang mga opsyon kung magkakamateryal ang mga pagkalugi.
Nagdulot ng Pagkabahala ang Paulit-ulit na Insidente sa Seguridad ng Kelp DAO at mga Panganib sa Cross-Chain
Ang insidente noong Sabado ay marka ng pangalawang pangunahing pagkagambala ng Kelp DAO sa loob ng isang taon. Noong Abril 2025, ang isang bug sa kontrata ng bayad nito ay nagdulot ng labis na pagmimina ng rsETH. Ang pangyayaring iyon ay humantong sa pansamantalang paghinto ngunit hindi nagresulta sa pagkalugi ng pondo ng mga user.
Ang kasalukuyang mga kondisyon ay nagpapakalakal sa rsETH malapit sa $2,500, na sumasalamin sa kawalan ng katiyakan tungkol sa katatagan ng protocol. Ang Kelp DAO at co-founder na si Amitej Gajjala ay hindi pa nagbibigay ng karagdagang mga detalye bukod sa mga paunang pahayag.
Nakatuon na ngayon ang pansin sa pagsusuri ng ugat na sanhi at mga potensyal na landas ng pagbawi. Ang laki ng pagsasamantala ay nagtataas ng mas malawak na mga alalahanin tungkol sa seguridad ng mga tulay sa cross-chain. Habang nagpapatuloy ang mga imbestigasyon, parehong ang mga user at mga protocol na nauugnay sa rsETH ay nahaharap sa tumaas na panganib at patuloy na kawalan ng katiyakan.
Mag-iwan ng Tugon