📋Kas nutiko

Balandžio 19 d., 2026 — Kelp DAO prarado ~$293 milijonus per LayerZero bridge exploit'ą. Tai didžiausias 2026 m. DeFi hack'as iki šiol, aplenkęs Drift'o $286M (balandžio 1 d.).

Atakos mechanizmas — elegantiškas ir kandus:

Hakeris išnaudojo LayerZero „single-verifier" konfigūracijos spragą Kelp DAO bridge'e
Per ją išviliojo 116,500 rsETH (Kelp DAO liquid restaking tokenas) į savo piniginę
Tuos pačius pavogtus rsETH deponavo kaip kolateralą Aave V3 ir prieš juos paskolino wETH
wETH išplovė per tinklo miksus — klasikinė DPRK technika

Elliptic ir Chainalysis patvirtino: tai vėl Šiaurės Korėjos Lazarus Group — antras DPRK hack'as per 3 savaites (po Drift).

💸Kiek pavogta

Tiesioginis Kelp DAO nuostolis:

$293M pavogta (Lazarus Group atributa)
116,500 rsETH prarastas per bridge exploit

Aave antriniai nuostoliai (tai svarbiausia!):

$6 milijardų TVL kritimas per 24h (iš $26.4B į ~$20B)
~$196M blogos skolos rsETH-wETH pool'e Ethereum
Aave užšaldė rsETH rinkas V3 ir V4 platformose
AAVE token -10% per 24h
Umbrella reserve gali nepadengti trūkumo — tai reiškia, kad stkAAVE holders gali absorbouoti dalį nuostolių

Tai nėra paprastas „vienas protokolas pavogta". Tai sisteminė DeFi krizė — pirmiausia nuo Kelp'o, antriniai nuo Aave, tretiniai nuo visos ETH lending ekosistemos.

⚠️Kodėl tai svarbu man

Ar tu paveiktas? Priklauso nuo to, kur turi lėšų:

🔴 Tiesioginė rizika — jei turi bet kokį LRT

Jei turi rsETH, eETH, ezETH, pufETH ar panašius liquid restaking tokenus — tavo pozicija gali būti užšaldyta arba prarasti vertę. Patikrink iškart.

🟡 Netiesioginė rizika — jei naudoji Aave

Net jei NETURI rsETH, bet turi USDC, ETH ar kitą turtą Aave:

rsETH rinkos užšaldytos, bet kiti markets veikia
Panic withdrawal gali sukelti staigų likvidumo sumažėjimą — jei visi bando išeiti tuo pat metu, borrow APR staigiai šoka
Bad debt $196M — kažkas turės padengti. Aave Umbrella → jei neužteks → stkAAVE holders. Jei tu staki AAVE — tavo pozicija tiesiogiai paveikta
AAVE token -10% per 24h — jei naudoji kaip kolateralą kur nors, LTV keičiasi

🟢 Mažiausia rizika — Solana/Kamino vartotojams

Mūsų pagrindinė strategija dabar remiasi Kamino (Solana). Jei sekei pamokas ir perėjai iš Drift į Kamino (po mano balandžio 1 straipsnio) — tavo tiesioginė ekspozicija šiam įvykiui minimali.

Bet tai nereiškia, kad saugi. Tai reiškia, kad tu šį kartą turi laiko mokytis nepralaimėjęs pinigų.

Mano pozicija

Turiu Aave poziciją Ethereum tinkle (pagal Modulio 2-4 pamoką). Neturiu rsETH — tai ne mūsų strategijos asset. Bet dėl Aave TVL panikos sumažinau savo LTV nuo ~35% iki ~25% vakar vakare — tiesiog iš atsargumo, kol situacija stabilizuosis.

🛠️Ką daryti dabar

Šiandien (balandžio 20 d., 2026):

Jei turi rsETH ar kitą LRT:

Patikrink savo piniginę per etherscan.io — ar rsETH tokenai vis dar tavo
Bandyk withdraw iš Kelp DAO (jei dar turi pozicijas) — kuo anksčiau, tuo geriau
NE DEPONOOK daugiau rsETH niekur — nauja kolaterizacija ant korumpuoto asset = prarasti pinigai
Sek @Kelp_DAO ir @AaveAave — čia bus recovery updates

Jei turi Aave poziciją (bet ne rsETH):

Patikrink LTV — jei virš 40%, sumažink iki 30% ar mažiau dabar
Venk papildomo borrowing artimiausias 48-72 val — APR volatilumas ekstremalus
Pasiruošk partial withdrawal — sekdamas TVL dinamiką per defillama.com/protocol/aave-v3
Jei turi stkAAVE — rimtas perspėjimas: Aave Umbrella reserve gali neišleisti. Apsvarstyk unstake'ą (20d cooldown) jei negali priimti potencialaus nuostolio

Jei naudoji LayerZero bridges (bet kokiems assets):

Eik į revoke.cash
Prisijunk su piniginę
Atšauk visus LayerZero + Stargate bridge approvals — kol saugumo audit'as nepatvirtins, kad fix'as deploy'intas
Tai nėra panika — tai standartinis hygiene po bridge exploit'o

Alternatyvos Aave (jei nori diversifikuoti):

Protokolas	Grandinė	Plusai	Minusai
Morpho Blue	Ethereum	Isoliuoti rinkos, mažesnė contagion rizika	Mažiau likvidumo
Spark Protocol	Ethereum	MakerDAO backed, savaitinis audit'as	Mažesnis asset pasirinkimas
Compound V3	Ethereum	Senas protokolas, silni auditai	Mažesni yield'ai
Kamino	Solana	Mūsų pagrindinė dabar	Jei nori Ethereum — netinka

Dėmesio: visi Ethereum lending protokolai turi correlated risk dėl bendros LST ekosistemos. Jei Aave contagion pradėtų plisti — Morpho, Spark, Compound gali sekti. Tikra diversifikacija = skirtingos grandinės.

Rizikos žemėlapis: prieš Kelp hack'ą vs dabar

Vizualiai — kaip pasikeitė protokolų rizikos padėtis po balandžio 19 d.:

PRIEŠ hack'ą (balandžio 18 d.):

Protokolų rizikos matrica

Spalvos (grandinė)

solana

ethereum

CEX (centralizuota)

Bridge (tiltas)

Burbulo dydis

= TVL dydis

PO hack'o (balandžio 20 d.):

Protokolų rizikos matrica

Spalvos (grandinė)

solana

ethereum

CEX (centralizuota)

Bridge (tiltas)

Burbulo dydis

= TVL dydis

Trys pastabos iš palyginimo:

Kelp nukrito iš „vidutinės" zonos tiesiai į „pavojingą" kampą — TVL -83%, security score sutraiškytas
Aave pasislinko iš idealiojo kvadranto žemyn-kairėn — nukentėjo nuo contagion, net be tiesioginio exploit'o
Kamino ir Morpho šiek tiek pagerino poziciją — žmonės bėga iš Ethereum LST ekosistemos į alternatyvas

🎓Ką iš to mokomės

Penkios pamokos iš šio įvykio:

1. Bridge'ai yra DeFi silpniausioji grandis. Vėl.

LayerZero „single-verifier" setup — tai reiškia, kad vienas parašas galėjo autorizuoti cross-chain message'us. Hakeris išnaudojo tą pačią techniką, kurią pirmiausia matėme 2022 m. su Ronin Bridge ($625M) ir Nomad Bridge ($190M). Tai nėra nauja rizika — tai tas pats mokymosi kuris kartojasi kas 18 mėnesių.

Mūsų strategijoje nenaudojam bridge'ų tiesiogiai — SOL pozicijos lieka Solana, ETH pozicijos lieka Ethereum. Dabar, turėdamas Kelp DAO pavyzdį, šią taisyklę laikau dar griežčiau.

2. Liquid Restaking Tokens (LRT) yra „systemic risk multiplier".

rsETH, eETH, ezETH, pufETH — visi šie tokenai yra kitų tokenų vertės išvestinės, kurios yra kitų tokenų vertės išvestinės. Skaičiuokim: ETH → stETH (Lido) → rsETH (Kelp). Tai trys sluoksniai, kiekvienas turi savo rizikas.

Kai dugnas (ETH → stETH bridge'as) turi spragą — visa piramidė ant jo griūva. Kelp DAO nebuvo „bad protocol" — bet buvo „exposed to bad bridge".

Taisyklė mums: jei asset yra „wrapped wrapped wrapped" — rizika eksponentinė, ne tiesinė.

3. Antrinė panika yra tikra grėsmė, net jei nesi „tiesiogiai" paveiktas.

Aave prarado $6B TVL per vieną dieną. Didžioji dalis šių $6B nebuvo rsETH. Tai buvo USDC, USDT, DAI, ETH holder'iai, kurie tiesiog bijojo ir išėjo.

Rezultatas: borrow APR šoka, lending APR krenta, likvidumas išdžiūsta. Tai paveikia visų Aave vartotojų strategijas — net tų, kurie neturėjo jokio sąryšio su Kelp.

Taisyklė mums: jei tavo strategija remiasi „normaliu" APR — turėk planą „2x APR volatilumo" scenariui. Tai ne paranoja, tai 3 kartus per metus realybė.

4. stkAAVE „stake" nėra tas pats kaip „staking yield" — tai draudimo polis.

Daugelis žmonių steika AAVE tokenus, nes mato ~6% APY. Bet stkAAVE tikrasis vaidmuo yra „Safety Module" — tai DeFi versija deposit insurance fund'o. Kai protokolas turi bad debt → Umbrella reserve dengia → jei neužtenka → stkAAVE holders padengia trūkumą (iki 30% staking balance'o „slashing").

Kelp/Aave incidente $196M bad debt. Aave Umbrella dydis istoriškai buvo ~$600M, bet šios krizės metu jau dirba ties limitu. Stkaave holders gali prarasti 10-30% balance'o per ateinančias savaites.

Taisyklė mums: kai kažkas „stake'ina" tokeną už 6% APY — suprask, nuo ko tas 6% moka. Dažnai tai yra padėties rizikos premija, ne „free money".

5. DPRK yra ilgalaikis priešas. 2 hack'ai per 3 savaites — ne sutapimas.

Balandžio 1: Drift $286M (DPRK). Balandžio 19: Kelp $293M (DPRK).

Dešimt procentų visos DeFi pavogtos vertės per 2026 m. Q1-Q2 — Šiaurės Korėjos operacija. Tai jau $579M per 19 dienų. Tai yra infrastruktūrinis priešas su profesionalia komanda, neribotais resursais, ir tiesioginiu valstybės palaikymu.

Taisyklė mums: „audituota" nebepakanka. Mums reikia layered defense: (1) protokolo saugumas, (2) bridge vengimas, (3) LRT vengimas, (4) per-protokolą maksimumas 20%, (5) kasdienis monitoring. Ir net tai gali nepakakti prieš state-level actor'iuuš.

Šaltiniai: