20. dubna decentralizovaný protokol Kelp DAO čelil masivní hackerské útoku, jehož ztráty přesáhly 300 milionů dolarů. Již v prvních hodinách po incidentu bylo jasné, že se jedná o jedno z největších loupeží v sektoru DeFi za poslední roky. V tomto článku analyzujeme, co je dnes známo, a podrobně prozkoumáme průběh vyšetřování během prvních 18 dní po hacku.
Pokud v prvních hodinách po incidentu byla situace fragmentovaná, během následujících deseti dnů vyšetřování nabrala značné množství technických detailů a faktů.
Útok 1
Fáze 1
Primární útok
Pokračovalo to po dobu jedné minuty.
Vstupním bodem byl vybrán kros-chain adaptér rsETH na základě infrastruktury LayerZero. Útok došlo v důsledku kompromitace infrastruktury RPC uzlů. K tomu byla využita architektonická chyba. Poškození celého systému začalo z jednoho kompromitovaného identifikátoru.
Fáze 2
Plocha hlavních událostí
Po úniku systému hackeři použili rafinovaný plán: poslali falešnou zprávu o úspěšném "blokování" prostředků.
Pro ty, kteří se neorientují v architektuře DeFi, v tomto kontextu "blokování" nefunguje jako zmrazení účtu, ale jako potvrzení vkladu. V normálních podmínkách proces vypadá takto:
Fáze 1
Vkládáte aktivum (například 100 $). Systém zaznamenává přijetí prostředků a "blokuje" je ve svém úložišti jako zástavu.
Fáze 2
Teprve po úspěšném prvním kroku se spustí automatický proces vydávání nových tokenů, které uživatel získává.
Tuto logiku použili hackeři. Přinutili systém věřit, že první fáze byla úspěšně dokončena, i když skutečné aktiva nebyla vložena. Příjmajíc falešnou zprávu za legitimní, protokol omylem vydal 116 500 rsETH bez jakékoli skutečné zástavy. Díky integraci s technologií LayerZero mohli útočníci okamžitě rozšířit tento vliv na několik blockchainů. To jim umožnilo současně vybrat prostředky z více než 20 sítí, včetně Arbitrum, Base, Linea a dalších, a přetvořit chybu jednoho protokolu na masivní ztrátu likvidity v celé ekosystému.
Fáze 3
Odchod a legalizace
Získavši tisíce nelikvidních tokenů rsETH (které ve skutečnosti neměly skutečné zajištění), hackeři je použili jako zástavu v úvěrových protokolech, zejména v Aave.
Jak to funguje (jednoduše řečeno):
Představte si běžnou zastavárnu. Pokud tam přinesete obraz, odhadce jej pečlivě zkontroluje v reálném čase, než vám vydá peníze. Nicméně úvěrové kryptoprotokoly jsou automatizované systémy, které fungují na základě předem stanovených algoritmů. Hackeři "přinesli" do takové digitální zastavárny falešné umělecké díla (nelikvidní rsETH). Jelikož systém tyto tokeny považoval za legitimní, automaticky vydal na jejich zástavu skutečné likvidní prostředky — Ethereum (WETH). Zločinci získali skutečnou kryptoměnu, přičemž protokolu zanechali místo toho bezcenné "papírky". Aby stopu dokonale zametli, získané prostředky byly okamžitě rozptýleny mezi stovkami anonymních adres. To učinilo proces sledování a vracení aktiv extrémně složitým úkolem pro analytiky.
Protiopatření
Administrátoři Kelp DAO aktivovali "nouzové zastavení" pro všechny smart kontrakty, aby zabránili dalšímu vyvádění prostředků. Útok zasáhl alespoň 9 sousedních protokolů, tým zahájil urgentní synchronizaci s jinými DeFi platformami pro izolaci poškozených likvidních poolů.
V prvních minutách byly zapojeny kyberbezpečnostní týmy, včetně:
Cyvers:
Jedna z prvních identifikovala anomální aktivitu a potvrdila fakt hacku.
Halborn
Publikovala podrobnou technickou zprávu, kde vysvětlila příčinu útoku — zranitelnost v konfiguraci verifikátoru kros-chain mostu.
PeckShield
Soustředili síly na analýzu transakcí.
Chainalysis a Elliptic
Sledování ukradených aktiv.
Po prvních protiopatřeních se zdálo, že tato historie půjde logickou cestou vyšetřování, komunikace atd. Nicméně po 20 minutách došlo k události, která mohla posunout tuto loupež ještě na vyšší úroveň kategorizace následků.
Útok 2
Navzdory kontradikcím po výše uvedených událostech byla systém kompromitován a hackeři zaútočili znovu.
Vstupním bodem byly ty samé kompromitované RPC uzly.
V tu chvíli byly hlavní smart kontrakty již zmrazeny ochrannými týmy a pro útok byla vybrána jiná cesta. Byl odeslán nový datový balík s falešným potvrzením o "spálení" tokenů na jedné z sítí. Hlavní myšlenka spočívala v pokusu přimět most vydat novou dávku nezajištěných rsETH již v jiné síti.
Koncept jednoduše řečeno:
Při odesílání 100 mincí z jedné sítě do druhé lze vyčlenit několik fází.
Fáze 1
Síť, ze které jsou mince odesílány, zaznamenává jejich podmíněné spálení, čímž v podstatě vytváří blok dat, který slouží do určité míry jako potvrzení. Přímo říká: byl vytvořen požadavek na převod určitého množství mincí.
Fáze 2
Pokud se jedná o propojené sítě, na základě zadaných kontrolních algoritmů začne jiná síť přijímat data. Pokud byla verifikace úspěšná na jiné síti, iniciuje se vydání těch samých 100 mincí. Hackeři poslali falešnou zprávu o úspěšných akcích fáze 1, která ve skutečnosti neexistovala. V případě úspěchu by bylo získáno 95 - 105 milionů dolarů ve formě rsETH.
Protiopatření bezpečnostních týmů
Kromě soustředění úsilí na následky předchozího útoku část týmů chránila "perimetr". V důsledku úspěšného rozdělení sil rada bezpečnosti Arbitrum zablokovala pokus o vybrání prostředků na úrovni smart kontraktů a útok selhal.
Kdo stojí za útokem
Oficiální obvinění konkrétním osobám či státním skupinám nebyla vznesena. Hlavním podezřelým v rozsáhlém útoku na Kelp DAO, k němuž došlo v dubnu 2026, je severokorejská hackerská skupina Lazarus Group (zejména její oddělení TraderTraitor). Předběžné zprávy od LayerZero Labs, stejně jako analýzy společností Chainalysis, Halborn a blockchain detektiva ZachXBT, ukazují na Lazarus Group jako nejpravděpodobnějšího pachatele.
Vyšetřování úniku Kelp DAO, které se odehrálo v dubnu 2026, spojilo mezinárodní týmy kybernetické bezpečnosti, orgány činné v trestním řízení a specializované blockchainové rychlé reakční skupiny. Jelikož je útok spojován s severokorejskou skupinou Lazarus Group (zejména podskupinou TraderTraitor), vyšetřování má globální charakter.
Vedení vyšetřovacích týmů
Tým Kelp DAO a auditoři
Pracují na odstranění zranitelností a obnovení dat z logů infikovaných uzlů.
LayerZero Labs
Provedla analýzu vlastní infrastruktury (RPC uzlů), která byla použita jako vstupní bod.
Rada bezpečnosti Arbitrum
Organ správy sítě Arbitrum, který koordinoval zmrazení aktiv.
USA
Chainalysis
Poskytla podrobnou zprávu, v níž potvrdila, že útok byl zaměřen na off-chain infrastrukturu, nikoli na smart kontrakty.
TRM Labs
Aktivně sledují peněženky útočníků v reálném čase.
Čína/Singapur
PeckShield
Pomáhá sledovat trasy převodu ukradených aktiv přes různé protokoly soukromí.
Izrael
Cyvers
Jedna z prvních zachytila hacking a poskytla technickou analýzu toho, jak hackeři pranili prostředky přes THORChain a BitTorrent.
Jihoafrická republika
Aktivně spolupracují prostřednictvím zpravodajských informací o aktivitách severokorejských hackerů.
Mezinárodní komunita
Skupina rychlé reakce a bezpečnosti SEAL. Zapojila se do předchozího vyšetřování a pomohla minimalizovat další ztráty.
Kompenzace
Zdroje prostředků pro kompenzaci:
Zmrazené prostředky ($71 milionů)
To jsou ty samé aktiva na Arbitrum, které zablokovala Rada bezpečnosti sítě. Byly vráceny do Kelp DAO prostřednictvím speciálního hlasování o správě.
Vlastní fond pokladny
Tým Kelp použil shromážděné poplatky a část vlastních rezerv na pokrytí.
Prodej tokenů KELP
Bylo provedeno nouzové kolo financování prostřednictvím prodeje tokenů projektu rizikovým fondům s velkým diskontem, aby se rychle získala likvidita.
Obnovovací plán
Priorita pro maloobchodní investory
Obyčejní uživatelé, kteří drželi malé částky v rsETH, získali přístup k výběru prostředků první.
Technické "dluhopisy"
Pro ty, kteří nechtěli čekat 6 měsíců na úplné vrácení, Kelp vydal speciální tokeny kLoss. Ty představovaly právo na budoucí podíl z zisků protokolu. Uživatelé je mohli buď držet až do plné výplaty, nebo prodat na sekundárním trhu těm, kdo byli ochotni čekat.
Role LayerZero
Jelikož k útoku došlo přes infrastrukturu LayerZero, vývojářská firma (LayerZero Labs) vyčlenila grant ve výši 10 milionů dolarů jako gesto dobré vůle na podporu postižených uživatelů, i když právně neuznali svou plnou vinu.
6. dubna tým Kelp DAO oficiálně oznámil, že se vzdává dalšího používání systémů LayerZero a přechází na infrastrukturu Chainlink.
Stav k dnešnímu dni
Většina uživatelů (přes 98%) plně obnovila své pozice. Nicméně velcí institucionální investoři stále čekají na poslední tranše podle plánu odblokování.
Závěr
Únik Kelp DAO se oficiálně stal jedním z největších loupeží posledních let. Nicméně vyšetřování odhalilo, že po primárním útoku následovala druhá vlna. Díky profesionalitě týmů kybernetické bezpečnosti se tento opakovaný útok podařilo zcela odrazit, což snížilo potenciální ztráty přibližně o 40%. Přesto situace zůstává složitá. Otázka ochrany dat nabývá kritického významu, vzhledem k rychlému nárůstu počtu projektů a perspektivě transformace kryptosystémů na plnohodnotný finanční základ celých států.