$292 मिलियन 46 मिनट में गायब: Kelp DAO DeFi हैक के अंदर

संक्षिप्त विवरण

• शनिवार को Kelp DAO के LayerZero-संचालित ब्रिज का शोषण किया गया, जिससे 116,500 rsETH (~$292 मिलियन मूल्य) की निकासी हुई
• हमलावर ने LayerZero की मैसेजिंग लेयर को धोखा देकर फंड को हमलावर-नियंत्रित पते पर जारी करवाया
• चोरी के लगभग $250 मिलियन फंड को ETH में बदल दिया गया; एक Tornado Cash-वित्त पोषित पते का उपयोग किया गया
• Aave, SparkLend और Fluid सहित कम से कम नौ प्रोटोकॉल ने rsETH बाजारों को फ्रीज कर दिया
• यह अब 2026 का सबसे बड़ा DeFi शोषण है, जो 1 अप्रैल के Drift Protocol हैक को पीछे छोड़ गया

शनिवार को 17:35 UTC पर एक हमलावर ने Kelp DAO के LayerZero-संचालित ब्रिज से 116,500 rsETH की निकासी की, लगभग $292 मिलियन की क्रिप्टो संपत्ति लेकर भाग गया।

CoinGecko के डेटा के अनुसार, चोरी की गई राशि rsETH की कुल 630,000 टोकन की परिसंचारी आपूर्ति का लगभग 18% है।

Kelp DAO एक लिक्विड रीस्टेकिंग प्रोटोकॉल है। यह उपयोगकर्ता द्वारा जमा किए गए ETH को लेता है, अतिरिक्त यील्ड अर्जित करने के लिए इसे EigenLayer के माध्यम से रूट करता है, और rsETH को एक ट्रेडेबल रसीद टोकन के रूप में जारी करता है।

हमलावर ने LayerZero की क्रॉस-चेन मैसेजिंग लेयर को यह विश्वास दिलाया कि किसी अन्य नेटवर्क से एक वैध निर्देश आया है। इससे Kelp का ब्रिज हमलावर-नियंत्रित वॉलेट को फंड जारी कर दिया।

Kelp के आपातकालीन मल्टीसिग ने निकासी के 46 मिनट बाद, 18:21 UTC पर प्रोटोकॉल के मुख्य कॉन्ट्रैक्ट्स को रोक दिया। अन्य 40,000 rsETH — लगभग $100 मिलियन मूल्य — की निकासी के दो बाद के प्रयासों को दोनों को अवरुद्ध कर दिया गया।

चोरी के फंड को एक Tornado Cash-वित्त पोषित पते के माध्यम से स्थानांतरित किया गया। ब्लॉकचेन सुरक्षा फर्म Cyvers के अनुसार, चोरी के लगभग $250 मिलियन के rsETH को पहले ही ETH में परिवर्तित कर दिया गया था।

DeFi में प्रभाव फैलता है

जिस ब्रिज की निकासी की गई थी, वह Base, Arbitrum, Linea, Blast और Scroll सहित 20 से अधिक ब्लॉकचेन पर रैप्ड rsETH का समर्थन करने वाले रिजर्व को धारण करता था।

उस रिजर्व के खत्म होने के साथ, लेयर 2 नेटवर्क पर rsETH धारकों को अब अनिश्चितता का सामना करना पड़ रहा है कि उनके टोकन पूरी तरह से समर्थित हैं या नहीं।

Aave ने शोषण के कुछ घंटों के भीतर V3 और V4 पर rsETH बाजारों को फ्रीज कर दिया। Aave के टोकन में लगभग 10% की गिरावट आई क्योंकि बाजारों ने संभावित बुरे ऋण के जोखिम को कीमत में शामिल किया।

SparkLend और Fluid ने भी अपने rsETH बाजारों को फ्रीज कर दिया। Lido Finance ने अपने earnETH उत्पाद में जमा को रोक दिया, जिसमें rsETH एक्सपोजर है, जबकि यह स्पष्ट किया कि इसका मुख्य स्टेकिंग प्रोटोकॉल शामिल नहीं था।

Ethena ने सावधानी के रूप में Ethereum मेननेट से अपने LayerZero OFT ब्रिज को लगभग छह घंटे के लिए रोक दिया, यह कहते हुए कि उसके पास कोई rsETH एक्सपोजर नहीं है।

Kelp ने 20:10 UTC पर अपनी पहली सार्वजनिक प्रतिक्रिया पोस्ट की — हमले के लगभग तीन घंटे बाद। प्रोटोकॉल ने कहा कि वह LayerZero, Unichain, अपने ऑडिटरों और बाहरी सुरक्षा विशेषज्ञों के साथ काम कर रहा है।

2026 में DeFi के लिए एक कठिन दौर

Cyvers के CEO Deddy Lavid ने कहा कि यह घटना DeFi में कंपोजेबिलिटी के जोखिमों को दिखाती है, जहां प्रोटोकॉल गहराई से जुड़े हुए हैं।

Drift Protocol, एक Solana-आधारित प्लेटफॉर्म, को 1 अप्रैल को उत्तर कोरिया-संबद्ध अभिनेताओं से जुड़े हमले में लगभग $285 मिलियन की निकासी का सामना करना पड़ा।

CoW Swap, Zerion, Rhea Finance और Silo Finance सहित छोटे प्रोटोकॉल का भी हाल के हफ्तों में शोषण किया गया है।

Cyvers के अनुसार, Q1 2026 में हैक्स और घोटालों से कुल क्रिप्टो नुकसान लगभग $482 मिलियन तक पहुंच गया।

Kelp DAO शोषण अब 2026 का सबसे बड़ा DeFi हैक है, जो कई मिलियन डॉलर से Drift को पीछे छोड़ता है।

प्रकाशन के समय तक Kelp ने यह खुलासा नहीं किया है कि हमलावर ने ब्रिज की सत्यापन तर्क को कैसे बायपास किया।

The post $292 Million Gone in 46 Minutes: Inside the Kelp DAO DeFi Hack सबसे पहले CoinCentral पर प्रकाशित हुआ।