Nem a hack a legnagyobb gond – hanem ami utána jön – Kriptoworld
Egy exploit után gyakran csak később válik láthatóvá az igazi kár. Az első headline általában az stolen amount emelik ki, de a valódi structural damage akkor bontakozik ki, amikor a bizalom, a liquidity és a fedezetek láncszerűen collapse . A KelpDAO hackje ezt tökéletesen szemlélteti: ami kezdetben egy technikai breach tűnt, hamarosan piaci crisis fajult.
Április 18-án egy támadó compromised a KelpDAO LayerZero-alapú cross-chain bridge , és 116.500 rsETH-t lovasított el, ami körülbelül 292 millió dollár értékű – 2026 eddigi legnagyobb DeFi-hack . A kritikus gyenge pont az volt, hogy a Kelp csak egyetlen DVN-t üzemeltetett, nem a recommended multi-DVN configuration . A támadó az RPC-infrastruktúrát poisoned , majd DDoS-támadással irányította át a csomópontokat, így hamis transaction hozhatott létre. A vészhelyzeti multisig 46 perccel később zárta le a hidat – addigra a lopott funds nagy része már etherré vált.
A valódi impact azonban nem itt állt meg. A támadó az ellopott rsETH-t azonnal deposited fedezetként az Aave V3 és V4 platformjaira, és ebből közel 196 millió dollár értékű WETH-t és ETH-t vett fel loan . A probléma ott kezdődött, hogy az rsETH mögöttes reserves már kiürültek – azaz a fedezet worthless volt. Normál liquidation mechanizmussal nem lehetett kezelni, így az Aave likviditása froze . A felhasználók nem férhettek hozzá saját deposits , míg az utilization ráta 100% fölé szökött.
Az Aave saját kódját nem törték fel, de a külső dependency miatt mégis súlyos reputation érte. Az AAVE token 10%-ot plummeted , a stETH és wstETH is veszített az értékéből. Több mint 5,4 milliárd dollárnyi withdrawal kérés érkezett egy időben – a pánik és a bizalomvesztés kézzelfogható jele. Ez a modern DeFi egyik legfontosabb tanulsága: nem feltétlen a saját fault okoz bajt, hanem az, hogy túl szorosan vagy connected másokkal.
A válasz intézkedések már futnak. A LayerZero felgyorsítja az összes single-DVN alkalmazás migration multi-DVN-re, és felfüggeszti az 1-of-1 signature . A BitGo és a Polygon is defensive action vezetett be. Egyre erősebb támogatás érkezik az óránkénti rate limit mellett, ami contain a károkat kisebb scale . A jövő DeFi-security már nem csak a feltörés megelőzéséről, hanem a fertőzés containment szól majd.
Tehát nem is a hack volt a legrosszabb, hanem az, hogy az systemic risk rendszerkockázat azonnal átterjedt a többi protokollra. Ez már nem kripto, hanem pénzügyi fertőzés.
Egyetlen DVN? Komolyan? Ez olyan, mintha csak egy zár lenne a bank vault páncéltermének ajtaján. A security biztonság itt alapból sántított.
És akkor most ki fogja cover fedezni az Aave-beli veszteségeket? A felhasználók vagy a DAO? Ez a liability felelősségi kérdés még megválaszolatlan.
A real lesson valódi tanulság: a DeFi már nem izolált rendszer. Ha egy token értéke collapses összeomlik, az azonnal ripple effect láncreakciót indít.
A rate limit sebességkorlátozás jó ötlet. Ha a hacker nem tudja azonnal átváltani az összeget, az buy time időt nyer a válaszra.
Az Aave alapítója azt mondta, hogy az rsETH nem is volt enabled engedélyezve kölcsönzésre. Akkor miért fogadták el collateral fedezetként?
Mindenki a new feature új funkciókra figyel, de senki a hibaüzem módokra. Pedig ezek azok, amik tényleg break széttörik a rendszert.
Ha a trust bizalom egyszer meginog, a recovery helyreállítás hónapokig is tarthat. A piacok punish büntetik a bizonytalanságot.