Balandžio 19 d., 2026 — Kelp DAO prarado ~$293 milijonus per LayerZero bridge exploit'ą. Tai didžiausias 2026 m. DeFi hack'as iki šiol, aplenkęs Drift'o $286M (balandžio 1 d.).
Atakos mechanizmas — elegantiškas ir kandus:
- Hakeris išnaudojo LayerZero „single-verifier" konfigūracijos spragą Kelp DAO bridge'e
- Per ją išviliojo 116,500 rsETH (Kelp DAO liquid restaking tokenas) į savo piniginę
- Tuos pačius pavogtus rsETH deponavo kaip kolateralą Aave V3 ir prieš juos paskolino wETH
- wETH išplovė per tinklo miksus — klasikinė DPRK technika
Elliptic ir Chainalysis patvirtino: tai vėl Šiaurės Korėjos Lazarus Group — antras DPRK hack'as per 3 savaites (po Drift).
Tiesioginis Kelp DAO nuostolis:
- $293M pavogta (Lazarus Group atributa)
- 116,500 rsETH prarastas per bridge exploit
Aave antriniai nuostoliai (tai svarbiausia!):
- $6 milijardų TVL kritimas per 24h (iš $26.4B į ~$20B)
- ~$196M blogos skolos rsETH-wETH pool'e Ethereum
- Aave užšaldė rsETH rinkas V3 ir V4 platformose
- AAVE token -10% per 24h
- Umbrella reserve gali nepadengti trūkumo — tai reiškia, kad stkAAVE holders gali absorbouoti dalį nuostolių
Tai nėra paprastas „vienas protokolas pavogta". Tai sisteminė DeFi krizė — pirmiausia nuo Kelp'o, antriniai nuo Aave, tretiniai nuo visos ETH lending ekosistemos.
Ar tu paveiktas? Priklauso nuo to, kur turi lėšų:
🔴 Tiesioginė rizika — jei turi bet kokį LRT
Jei turi rsETH, eETH, ezETH, pufETH ar panašius liquid restaking tokenus — tavo pozicija gali būti užšaldyta arba prarasti vertę. Patikrink iškart.
🟡 Netiesioginė rizika — jei naudoji Aave
Net jei NETURI rsETH, bet turi USDC, ETH ar kitą turtą Aave:
- rsETH rinkos užšaldytos, bet kiti markets veikia
- Panic withdrawal gali sukelti staigų likvidumo sumažėjimą — jei visi bando išeiti tuo pat metu, borrow APR staigiai šoka
- Bad debt $196M — kažkas turės padengti. Aave Umbrella → jei neužteks → stkAAVE holders. Jei tu staki AAVE — tavo pozicija tiesiogiai paveikta
- AAVE token -10% per 24h — jei naudoji kaip kolateralą kur nors, LTV keičiasi
🟢 Mažiausia rizika — Solana/Kamino vartotojams
Mūsų pagrindinė strategija dabar remiasi Kamino (Solana). Jei sekei pamokas ir perėjai iš Drift į Kamino (po mano balandžio 1 straipsnio) — tavo tiesioginė ekspozicija šiam įvykiui minimali.
Bet tai nereiškia, kad saugi. Tai reiškia, kad tu šį kartą turi laiko mokytis nepralaimėjęs pinigų.
Mano pozicija
Turiu Aave poziciją Ethereum tinkle (pagal Modulio 2-4 pamoką). Neturiu rsETH — tai ne mūsų strategijos asset. Bet dėl Aave TVL panikos sumažinau savo LTV nuo ~35% iki ~25% vakar vakare — tiesiog iš atsargumo, kol situacija stabilizuosis.
Šiandien (balandžio 20 d., 2026):
Jei turi rsETH ar kitą LRT:
- Patikrink savo piniginę per etherscan.io — ar rsETH tokenai vis dar tavo
- Bandyk withdraw iš Kelp DAO (jei dar turi pozicijas) — kuo anksčiau, tuo geriau
- NE DEPONOOK daugiau rsETH niekur — nauja kolaterizacija ant korumpuoto asset = prarasti pinigai
- Sek @Kelp_DAO ir @AaveAave — čia bus recovery updates
Jei turi Aave poziciją (bet ne rsETH):
- Patikrink LTV — jei virš 40%, sumažink iki 30% ar mažiau dabar
- Venk papildomo borrowing artimiausias 48-72 val — APR volatilumas ekstremalus
- Pasiruošk partial withdrawal — sekdamas TVL dinamiką per defillama.com/protocol/aave-v3
- Jei turi stkAAVE — rimtas perspėjimas: Aave Umbrella reserve gali neišleisti. Apsvarstyk unstake'ą (20d cooldown) jei negali priimti potencialaus nuostolio
Jei naudoji LayerZero bridges (bet kokiems assets):
- Eik į revoke.cash
- Prisijunk su piniginę
- Atšauk visus LayerZero + Stargate bridge approvals — kol saugumo audit'as nepatvirtins, kad fix'as deploy'intas
- Tai nėra panika — tai standartinis hygiene po bridge exploit'o
Alternatyvos Aave (jei nori diversifikuoti):
| Protokolas | Grandinė | Plusai | Minusai |
|---|---|---|---|
| Morpho Blue | Ethereum | Isoliuoti rinkos, mažesnė contagion rizika | Mažiau likvidumo |
| Spark Protocol | Ethereum | MakerDAO backed, savaitinis audit'as | Mažesnis asset pasirinkimas |
| Compound V3 | Ethereum | Senas protokolas, silni auditai | Mažesni yield'ai |
| Kamino | Solana | Mūsų pagrindinė dabar | Jei nori Ethereum — netinka |
Dėmesio: visi Ethereum lending protokolai turi correlated risk dėl bendros LST ekosistemos. Jei Aave contagion pradėtų plisti — Morpho, Spark, Compound gali sekti. Tikra diversifikacija = skirtingos grandinės.
Penkios pamokos iš šio įvykio:
1. Bridge'ai yra DeFi silpniausioji grandis. Vėl.
LayerZero „single-verifier" setup — tai reiškia, kad vienas parašas galėjo autorizuoti cross-chain message'us. Hakeris išnaudojo tą pačią techniką, kurią pirmiausia matėme 2022 m. su Ronin Bridge ($625M) ir Nomad Bridge ($190M). Tai nėra nauja rizika — tai tas pats mokymosi kuris kartojasi kas 18 mėnesių.
Mūsų strategijoje nenaudojam bridge'ų tiesiogiai — SOL pozicijos lieka Solana, ETH pozicijos lieka Ethereum. Dabar, turėdamas Kelp DAO pavyzdį, šią taisyklę laikau dar griežčiau.
2. Liquid Restaking Tokens (LRT) yra „systemic risk multiplier".
rsETH, eETH, ezETH, pufETH — visi šie tokenai yra kitų tokenų vertės išvestinės, kurios yra kitų tokenų vertės išvestinės. Skaičiuokim: ETH → stETH (Lido) → rsETH (Kelp). Tai trys sluoksniai, kiekvienas turi savo rizikas.
Kai dugnas (ETH → stETH bridge'as) turi spragą — visa piramidė ant jo griūva. Kelp DAO nebuvo „bad protocol" — bet buvo „exposed to bad bridge".
Taisyklė mums: jei asset yra „wrapped wrapped wrapped" — rizika eksponentinė, ne tiesinė.
3. Antrinė panika yra tikra grėsmė, net jei nesi „tiesiogiai" paveiktas.
Aave prarado $6B TVL per vieną dieną. Didžioji dalis šių $6B nebuvo rsETH. Tai buvo USDC, USDT, DAI, ETH holder'iai, kurie tiesiog bijojo ir išėjo.
Rezultatas: borrow APR šoka, lending APR krenta, likvidumas išdžiūsta. Tai paveikia visų Aave vartotojų strategijas — net tų, kurie neturėjo jokio sąryšio su Kelp.
Taisyklė mums: jei tavo strategija remiasi „normaliu" APR — turėk planą „2x APR volatilumo" scenariui. Tai ne paranoja, tai 3 kartus per metus realybė.
4. stkAAVE „stake" nėra tas pats kaip „staking yield" — tai draudimo polis.
Daugelis žmonių steika AAVE tokenus, nes mato ~6% APY. Bet stkAAVE tikrasis vaidmuo yra „Safety Module" — tai DeFi versija deposit insurance fund'o. Kai protokolas turi bad debt → Umbrella reserve dengia → jei neužtenka → stkAAVE holders padengia trūkumą (iki 30% staking balance'o „slashing").
Kelp/Aave incidente $196M bad debt. Aave Umbrella dydis istoriškai buvo ~$600M, bet šios krizės metu jau dirba ties limitu. Stkaave holders gali prarasti 10-30% balance'o per ateinančias savaites.
Taisyklė mums: kai kažkas „stake'ina" tokeną už 6% APY — suprask, nuo ko tas 6% moka. Dažnai tai yra padėties rizikos premija, ne „free money".
5. DPRK yra ilgalaikis priešas. 2 hack'ai per 3 savaites — ne sutapimas.
Balandžio 1: Drift $286M (DPRK). Balandžio 19: Kelp $293M (DPRK).
Dešimt procentų visos DeFi pavogtos vertės per 2026 m. Q1-Q2 — Šiaurės Korėjos operacija. Tai jau $579M per 19 dienų. Tai yra infrastruktūrinis priešas su profesionalia komanda, neribotais resursais, ir tiesioginiu valstybės palaikymu.
Taisyklė mums: „audituota" nebepakanka. Mums reikia layered defense: (1) protokolo saugumas, (2) bridge vengimas, (3) LRT vengimas, (4) per-protokolą maksimumas 20%, (5) kasdienis monitoring. Ir net tai gali nepakakti prieš state-level actor'iuuš.
Šaltiniai: