Kelp DAO stoi w obliczu poważnego kryzysu bezpieczeństwa po rzekomym ataku na most cross‑chain rsETH, w wyniku którego skradziono około 116 500 rsETH, warte w chwili ataku około 292 mln USD. Z raportów i danych on‑chain wynika, że atakujący prawdopodobnie wykorzystał komunikację LayerZero, aby uruchomić wypłatę środków z systemu mostu Kelp DAO. Incydent szybko rozprzestrzenił się po rynkach kryptowalut, ponieważ rsETH jest szeroko stosowany w DeFi, szczególnie jako zabezpieczenie w platformach pożyczkowych.
Sprawa jest istotna, ponieważ rsETH jest płynnym tokenem restakingowym. Oznacza to, że użytkownicy wpłacają aktywa związane ze stakingiem Ethereum i otrzymują token, który mogą przenosić, handlować lub wykorzystywać w DeFi, jednocześnie pozostając narażonymi na staking. Kelp DAO stworzył rsETH, aby działał na wielu blockchainach, i to właśnie tam pojawiło się ryzyko. Standard OFT LayerZero, czyli Omnichain Fungible Token, ma na celu przenoszenie jednego tokenu przez wiele łańcuchów przy zachowaniu wspólnej podaży. Ułatwia to użycie cross‑chain, ale także sprawia, że bezpieczeństwo mostu staje się kluczowe dla bezpieczeństwa tokenu.
Według doniesień pierwsze udane opróżnienie nastąpiło o 17:35 UTC. Kelp DAO użył wtedy swojego multisig‑a awaryjnego pauzera około 46 minut później, aby zamrozić kluczowe kontrakty. Ta przerwa wydaje się być przyczyną zablokowania dwóch kolejnych prób wyssania kolejnych 40 000 rsETH. Kelp poinformował, że zidentyfikował podejrzaną aktywność cross‑chain i współpracuje z LayerZero, Unichain, audytorami oraz zewnętrznymi ekspertami ds. bezpieczeństwa w celu zbadania przyczyny. W prostych słowach atak najprawdopodobniej trafił w logikę mostu umożliwiającą przemieszczanie rsETH między sieciami, a nie w zwykły portfel ani prosty błąd front‑endu.
Atak wywołał również obawy, ponieważ portfel powiązany z eksploatacją rzekomo został sfinansowany przez Tornado Cash przed incydentem. W exploitach DeFi często jest to sygnał próby ukrycia ścieżki pieniędzy. Badacz blockchain ZachXBT oznaczył atak wkrótce po jego wystąpieniu, a obserwatorzy rynku zaczęli analizować, jak duża część podaży rsETH została dotknięta. Raporty wskazywały, że skradziona ilość stanowiła około 18 % krążącego rsETH, co jest wystarczające, aby wywołać napięcia w rynkach pożyczkowych, feedach cenowych i systemach ryzyka.
Dlatego Aave działało szybko. Aave zamroziło rynki rsETH w wersjach V3 i V4 oraz podkreśliło, że własne smart kontrakty nie były przyczyną exploitu. Większym problemem dla Aave jest zła pożyczka. W pożyczkach zła pożyczka pojawia się, gdy zabezpieczenie traci wartość lub nie może zostać zlikwidowane na czas. Dokumentacja Aave zauważa, że ryzyko mostu i sieci może przyczynić się do tego problemu. Ich system Umbrella został zbudowany jako automatyczne narzędzie on‑chain służące do pokrywania deficytów, choć Aave później złagodziło publiczne sformułowania i zadeklarowało, że będzie poszukiwać sposobów na zredukowanie ewentualnych strat wynikających z tego zdarzenia.
To nie jest także pierwszy problem z rsETH. Kelp DAO miał kolejny incydent w kwietniu 2025 r., kiedy wstrzymało wpłaty i wypłaty po tym, jak błąd w kontrakcie opłat spowodował nadmierne wybijanie rsETH. Kelp oświadczył, że w tamtym przypadku nie utracono środków użytkowników, ale nowy exploit jest znacznie poważniejszy, ponieważ wydaje się obejmować bezpośrednią utratę funduszy na dużą skalę. Historia ma znaczenie. W kryptowalutach jeden incydent może być postrzegany jako pomyłka. Dwa incydenty w ciągu roku budzą trudniejsze pytania o projektowanie, testowanie i kontrole operacyjne.
Główną lekcją z exploitu Kelp DAO jest to, że ryzyko w DeFi nie kończy się na jednym protokole. Atak na most może uderzyć w token, rozprzestrzeni się na rynki pożyczkowe, a następnie dotknąć użytkowników, którzy nigdy nie korzystali z mostu. To ukryty koszt kompozytywności. Systemy takie jak Kelp DAO, LayerZero i Aave są budowane, aby łączyć rynki kryptowalut, ale silne połączenia niosą ze sobą szybciej rosnące obciążenia, gdy coś się psuje. Dla użytkowników exploit Kelp DAO jest przypomnieniem, że płynny restaking, tokeny cross‑chain i zyski DeFi mogą oferować elastyczność, ale jednocześnie dodają warstwy ryzyka smart kontraktów, mostów i zabezpieczeń, które mogą zawieść jednocześnie.
