Sâmbătă, 18 aprilie 2026, câțiva dezvoltatori care monitorizau fluxurile cross-chain ale tokenului rsETH au observat o serie de tranzacții care nu se potriveau nicăieri. Pe parcursul următoarelor ore, avea să devină limpede că cineva, cu mare probabilitate grupul Lazarus din Coreea de Nord, tocmai sifonase 290 de milioane de dolari din Kelp DAO prin exploatarea podului Layer Zero.
Ceea ce a urmat, retrageri panicate, lichidități blocate, piețe frânte, s-a lăsat cu o pierdere de 14 miliarde de dolari pentru întregul sector DeFi. Aave, cel mai mare protocol de împrumut on-chain, a rămas în 48 de ore cu o treime mai puțin valoare totală blocată.
Numeric, incidentul intră în primele zece din istoria finanțelor descentralizate. Operațional, este poate cel mai prost moment pe care Aave l-a traversat în șase ani de existență. Iar pentru industria care își vinde de ani buni narațiunea maturizării, rămâne o palmă usturătoare.
Sâmbăta în care podul Layer Zero a cedat
Tokenul rsETH este un liquid staking token emis de Kelp DAO. Cu alte cuvinte, un derivat care reprezintă ether mizat în protocoale de restaking precum EigenLayer. Deținătorii îl primesc în schimbul ETH-ului depus și îl pot folosi ca garanție în alte protocoale, păstrându-și randamentul inițial fără să-și imobilizeze capitalul. Mecanismul pare elegant pe hârtie. Problema apare când tokenul trebuie să călătorească între blockchain-uri diferite.
Pentru această călătorie, Kelp DAO a ales Layer Zero, o infrastructură de interoperabilitate devenită dominantă în ultimii ani. Layer Zero folosește o arhitectură bazată pe rețele descentralizate de verificatori, cunoscute sub acronimul DVN, care atestă validitatea mesajelor trimise între lanțuri.
Responsabilitatea pentru cât de strict se verifică fiecare transfer revine emitentului de token, un principiu pe care documentația oficială îl numește „self-defined security posture”.
Traducerea practică a acestui principiu, în cazul rsETH, a fost minimalistă până la iresponsabilitate. Kelp DAO a ales o configurație de tip 1-of-1, cu un singur DVN operat chiar de Layer Zero.
Niciun al doilea verificator, niciun contra-semnatar, niciun mecanism de redundanță. Odată ce acel DVN unic a fost compromis, barajul a căzut complet. Atacatorul a putut emite rsETH pe lanțuri unde tokenurile nu aveau acoperire reală în ETH, a transferat diferența și a dispărut în spatele unor adrese curate de pe Ethereum și Arbitrum.
Layer Zero a comunicat pe X că atacul a fost de tip „RPC-spoofing”. Tehnica presupune manipularea nodurilor care furnizează date blockchain către aplicațiile externe. Conform versiunii oficiale, atacatorii au reușit să prezinte informații false exclusiv către DVN-ul vizat, ocolind sistemele de monitorizare, și au lansat simultan un atac DDoS asupra nodurilor RPC neafectate pentru a forța căderea pe cele compromise.
Această narațiune a întâmpinat rezistență imediată. Un dezvoltator DeFi cu ani buni de experiență, cunoscut online sub pseudonimul banteg, a respins caracterizarea oficială. Un atac care compromite infrastructura în interiorul perimetrului de încredere nu este o interferență externă, a scris el. Este un implant direcționat care operează în interiorul granițelor.
Cu alte cuvinte, cineva a pătruns în sistem, nu a păcălit sistemul din afară. banteg a continuat cu un avertisment pe care echipele de protocol ar face bine să-l asculte. Atâta timp cât cauza exactă a breșei rămâne neclară, reactivarea podurilor ar fi o greșeală.
Cum a ajuns hack-ul să sugrume Aave?
Partea care transformă incidentul într-o criză sistemică, nu într-o pierdere izolată pentru Kelp DAO, ține de alegerea tactică a atacatorului. O vânzare rapidă a celor 290 de milioane de rsETH ar fi prăbușit prețul tokenului și ar fi atras în câteva secunde atenția fiecărui bot de monitorizare din industrie. În schimb, atacatorul a mers pe o rută mult mai subtilă.
A depus rsETH-ul furat drept garanție în protocoalele majore de împrumut, printre care Aave V3, Compound V3 și Euler, și a împrumutat WETH, varianta tokenizată a Ethereum-ului.
Firma de audit blockchain PeckShield a contabilizat datoriile acumulate la peste 236 de milioane de dolari. Practic, atacatorul transforma un activ suspect într-un activ neutru, recunoscut pretutindeni, mult mai ușor de mișcat și aproape imposibil de blocat retrospectiv.
Odată tras WETH-ul din piețe, fondurile au putut fi rutate către adrese proprii pe Ethereum și Arbitrum. Principalul portofel al atacatorului păstra la momentul publicării cronicii inițiale pe Protos 245 de milioane de dolari în ETH, împărțiți între 174 de milioane pe Ethereum și 71 de milioane pe Arbitrum.
Aave, protocolul cel mai expus, a intrat în alertă rapid. Piețele rsETH au fost suspendate la câteva ore după primele semne, iar contribuitori influenți au transmis utilizatorilor un mesaj tranșant.
Marc Zeller, de la Aave Chan Initiative, a postat public îndemnul: retrageți acum, puneți întrebări după. Combinația între acest avertisment și realitatea tot mai vizibilă a crizei a declanșat exodul. În primele ore, peste 6 miliarde de dolari au ieșit din protocol. Până luni dimineață, cifra totală a retragerilor atingea aproape 9 miliarde.
Paradoxul Aave, în acest moment, merită privit cu atenție. Protocolul nu pierduse, tehnic, banii depunătorilor. Garanțiile rsETH erau încă acolo, chiar dacă acoperirea lor reală intrase în zona gri. Totuși, valul de retrageri a golit rezervele de WETH și a blocat mecanismele automate de lichidare. Piețele de stablecoin au atins utilizare completă, ceea ce înseamnă că nu mai rămăsese nimic de împrumutat, iar dobânzile pentru împrumuturile existente s-au dus în sus ca la un ghișeu de schimb valutar într-o zi de panică.
MonetSupply, de la protocolul Spark, a explicat pe X că procesul firesc de deleveraging, adică închiderea ordonată a pozițiilor riscante, era complet paralizat. Modificările recente operate asupra curbei de dobândă din Aave, menite să încurajeze folosirea eficientă a capitalului, s-au dovedit exact nepotrivite într-un scenariu de criză. Au sporit riscul unei prăbușiri în cascadă, nu l-au redus.
Efectul de contagiune dincolo de Aave
Când un pol major al lichidității devine ilichid, consecințele călătoresc prin rețea cu o viteză care continuă să surprindă chiar și specialiștii. Fondurile de tip vault, care agreghează depozite ale utilizatorilor și le alocă în diverse strategii de randament, s-au trezit peste noapte cu alocări blocate.
Platformele de trading cu levier care foloseau WETH împrumutat drept bază a pozițiilor au fost lovite de apeluri de marjă pe care nu le mai puteau onora. Iar efectul s-a extins până la nivelul Solanei, unde echipe care nu aveau nicio legătură cu rsETH sau cu Layer Zero au raportat scurgeri de lichiditate și oscilații bruște de preț.
De ce ajunge o singură decizie tehnică a unui protocol de dimensiuni medii să tragă după sine piețe de sute de miliarde de dolari? Răspunsul stă în rețeaua densă de relații dintre colaterale, instrumente derivate și platforme de credit. rsETH era acceptat drept garanție în zeci de locuri.
Ether-ul împrumutat pe baza lui alimenta alte strategii. Acele strategii serveau la rândul lor drept depozite pentru alți utilizatori. Un șoc într-un punct ajunge, în câteva ore, la marginile cele mai îndepărtate ale structurii.
Cifrele spun povestea mai sec. De sâmbătă încoace, valoarea totală a pieței DeFi a scăzut cu 14 miliarde de dolari. Și asta nu este o pierdere punctuală. Valoarea totală blocată în protocoale descentralizate se afla deja la jumătate față de nivelul anterior prăbușirii-fulger din 10 octombrie, iar episodul de acum adâncește o traiectorie descendentă care îngrijorează de câteva luni investitori și dezvoltatori deopotrivă.
Cine suportă pierderea, o întrebare încă fără răspuns clar?
Retragerile masive, oricât de spectaculoase, nu răspund la întrebarea cu adevărat grea. Cine suportă datoria rea rămasă în urmă? Cine acoperă gaura dintre valoarea rsETH-ului folosit drept colateral și valoarea reală a activelor care îl susțin?
Estimările circulă într-o plajă largă. Un analist cunoscut online ca 0xWismerhill a calculat un deficit de acoperire de 18 la sută pentru rsETH, cifră care s-ar traduce în aproximativ 250 de milioane de dolari datorie rea pentru Aave.
Dezvoltatorul DeFiLlama 0xngmi a publicat o plajă mai amplă, cu scenariul pesimist la 341 de milioane și cel optimist la 76 de milioane. Marc Zeller, fost contribuitor al ACI, estimează că depunătorii de WETH pe Aave vor suporta o tăiere, cunoscută în jargonul financiar drept haircut, de aproximativ 5 până la 8 la sută după ce se va așeza praful.
Pentru a absorbi șocul, Aave dispune de câteva instrumente. Fondul de rezervă Umbrella deține 55 de milioane de dolari în ether. Predecesorul acestuia, modulul de siguranță, păstrează peste 280 de milioane de dolari în active, însă accesarea lor depinde de o decizie a guvernanței descentralizate.
ACI a promis public că va contribui cu fonduri din programul propriu de staking, iar discuțiile despre utilizarea trezoreriei DAO sunt deja în desfășurare. Nimic nu este tranșat, și tocmai aici stă pericolul. Depunătorii de pe Aave nu știu încă dacă vor fi compensați integral, parțial, sau dacă pierderea va fi distribuită între toți utilizatorii protocolului.
Aave a sugerat că tokenurile rsETH care au rămas pe lanțul original, necompromise prin pod, ar trebui tratate ca având acoperire integrală. Interpretarea aceasta ar muta povara exclusiv pe umerii deținătorilor de WETH de pe alte rețele, care s-ar alege cu activul neacoperit. Alternativa, o distribuție pro rata între toți deținătorii, nu este nici ea o soluție curată. Ar aprofunda criza de încredere în tokenul însuși, într-un moment în care reputația rsETH este deja la pământ.
Jocul atribuirii vinei, public și necruțător
Între protagoniștii crizei se desfășoară, paralel cu negocierile tehnice, un joc al acuzațiilor care devine tot mai public. Kelp DAO, potrivit unei relatări CoinDesk, se pregătește să arunce responsabilitatea în curtea Layer Zero. Argumentul echipei este că documentația oficială, setările implicite și recomandările primite la momentul integrării au condus direct la configurația vulnerabilă de tip 1-of-1.
Layer Zero, la rândul său, a anunțat că va îndemna orice echipă cu setări de acest tip să migreze către configurații cu redundanță, de tip multi-DVN, în care mai multe rețele de verificatori trebuie să valideze simultan o tranzacție cross-chain pentru ca aceasta să fie acceptată. Mai mult, compania a precizat că nu va mai accepta să funcționeze drept DVN unic pentru proiecte care insistă pe configurații minimale.
Măsura sună rezonabil la prima vedere, dar a primit reacții reci în comunitate. banteg, același dezvoltator care contestase caracterizarea oficială a atacului, a rezumat frustrarea multora într-o postare scurtă care a circulat rapid. Răspunsul vostru la situația în care un multisig 1/1 este hăcuit nu poate fi un multisig 2/2, a scris el. Uneori am impresia că industria aceasta este incapabilă să învețe. Ideea este că adăugarea de redundanță nu rezolvă problema de fond dacă toate componentele sistemului rămân expuse aceleiași clase de vulnerabilități.
Nici Aave nu iese neatinsă. Procesul intern de evaluare a riscului pentru rsETH, care ar fi trebuit să identifice fragilitatea configurației de bridge, a fost deja criticat public de figuri precum cercetătorul Wei Dai. Multe voci cer acum implementarea unor limite de ritm pentru fluxurile prin poduri și pentru acceptarea de garanții noi. Mecanisme care ar fi redus semnificativ dimensiunea expunerii chiar și în cazul unui atac reușit.
Tiparul repetării, problema structurală a DeFi
Ce face acest incident deosebit de instructiv, dincolo de magnitudinea lui, este că tiparul nu e nou. În noiembrie 2025, Stream Finance a înghețat retragerile după o pierdere de 93 de milioane de dolari și a văzut stablecoin-ul xUSD pierzându-și 75 la sută din paritate. O lună mai târziu, protocolul Resolv a fost atacat, iar activul RSD a suferit un destin similar. În fiecare dintre aceste cazuri, întrebarea despre senioritatea creanțelor, adică despre cine stă primul la rând când banii nu mai ajung pentru toți, a rămas nerezolvată înaintea crizei.
Întârzierea aceasta recurentă în clarificarea ordinii pierderilor spune poate cel mai mult despre imaturitatea sectorului. Finanțele tradiționale au reguli strivit de clare despre creditor garantat, creditor negarantat, acționar și despre cine suportă pierderile în cascadă. În DeFi, întrebările se discută de obicei după ce dezastrul s-a produs, ceea ce amplifică panica și descurajează investițiile pe termen lung.
Configurațiile minimale rămân, în ciuda lecțiilor, tentante pentru echipele de proiect. Sunt mai ieftine de operat, mai rapide de lansat și par suficiente atâta timp cât nu se întâmplă nimic.
Problema este că, atunci când se întâmplă ceva, efectele se propagă prin toată rețeaua de colaterale și împrumuturi, nu doar în cercul restrâns al proiectului inițial. Hyperbridge, de pildă, trecuse printr-un incident similar cu două săptămâni înainte, iar o parte din comunitate glumise atunci că ar fi o farsă de 1 aprilie. Acel moment a anticipat, la scară mai mică, exact ceea ce avea să se întâmple la jumătatea lunii.
Adresa atacatorului, vizibilă oricui
Pe platforma DeBank, adresa principală a atacatorului se poate urmări în timp real. Oricine, cu un browser obișnuit, poate deschide profilul și vedea balanțele. Potrivit ultimei verificări menționate în cronica Protos, ea conținea 174 de milioane de dolari în active pe Ethereum și 71 de milioane pe Arbitrum. Privind cifrele, o parte din absurditatea ecosistemului devine aproape palpabilă.
Transparența blockchain-ului public este una dintre valorile sale fundamentale. Orice tranzacție este vizibilă, orice adresă investigabilă, orice flux de fonduri înregistrat pentru totdeauna. Și totuși, vizibilitatea nu echivalează cu recuperarea.
Atacatorii știu că, dacă au acces la instrumente de mixare și dacă fluxul de tranzacții trece prin podurile potrivite, activele pot fi integrate treptat înapoi în sistemul financiar tradițional. Iar Lazarus Group, denumirea sub care sunt cunoscute echipele de atac afiliate regimului din Phenian, are un istoric îndelungat și documentat în astfel de operațiuni.
Suspiciunea nord-coreeană nu este o presupunere aruncată la întâmplare. Tiparul de operare, infrastructura folosită, nivelul de sofisticare al atacului asupra infrastructurii și secvența de mutări post-exploit corespund unui model observat în alte incidente atribuite deja, cu certitudine rezonabilă, grupării Lazarus.
Finanțarea programului de rachete balistice al Coreei de Nord depinde, conform agențiilor de informații occidentale, într-o măsură semnificativă de astfel de operațiuni. Fiecare hack de dimensiunea acesta capătă astfel o dimensiune care depășește paguba financiară imediată. Vorbim, în ultimă instanță, despre fonduri care contribuie la un program de arme cu potențial devastator, colectate dintr-un ecosistem care își vinde narațiunea ca fiind transparent și legitim.
Ce poate însemna totul pentru viitorul apropiat al finanțelor descentralizate?
Pe termen scurt, câteva consecințe par aproape inevitabile. Aave va intra într-o perioadă de recalibrare a politicilor de risc, posibil cu o reformă a modului în care listează active noi drept garanții. Kelp DAO va trebui să refacă încrederea deținătorilor rsETH, fie prin recompensarea directă a pierderilor, fie printr-un plan credibil de recuperare pe termen mediu. Layer Zero va fi obligat să explice mult mai detaliat natura breșei și să publice postmortem-uri transparente, dincolo de declarațiile generale.
Pentru ecosistemul DeFi în ansamblu, rămâne de văzut dacă se va forma o presiune reală pentru schimbări structurale. Acele limite de ritm despre care se discută de luni bune, acele praguri minime de redundanță pentru poduri, acele proceduri clare de prioritizare a creanțelor există deja pe hârtie și în discuțiile de pe forumuri.
Ce lipsește, repetat, este voința politică, dacă termenul se poate aplica unui spațiu descentralizat, de a le adopta cu adevărat, chiar cu costul unui grad mai mic de experiență utilizator sau al unor dobânzi ușor mai mici pentru depunători.
În plan mai larg, incidentul va alimenta din nou dezbaterea despre relația dintre reglementare și inovație. Fiecare eveniment de această amploare oferă argumente celor care cer cadre stricte, uniforme, aplicabile global. La fel, oferă argumente celor care susțin că industria trebuie lăsată să se maturizeze prin selecția naturală a proiectelor rezistente. Între aceste două tabere, investitorul obișnuit, care își plasează lichiditățile într-un protocol fără să înțeleagă arhitectura cross-chain de dedesubt, rămâne de obicei cel mai vulnerabil.
Finanțele descentralizate au fost construite pe promisiunea unui sistem fără intermediari, fără gardieni, fără frontiere. Episoade ca prăbușirea din aprilie 2026 ne amintesc că absența unui intermediar nu înseamnă absența unui punct de vulnerabilitate. Un DVN unic este la fel de fragil ca un server central.
O configurație implicită neverificată este la fel de periculoasă ca o parolă slabă. Iar nimeni, nici Lazarus, nici atacatorii oportuniști care urmează de obicei în siajul celor mari, nu are răbdare să aștepte ca industria să învețe lecțiile pe ritmul ei lent.
Cum va arăta ultimul capitol depinde de cum își va împărți Kelp DAO pierderile, de cum va rezista Aave la testul guvernanței și de dacă reformele anunțate vor trece dincolo de declarații.
O certitudine rămâne. Podurile între blockchain-uri, oricât de elegant proiectate, nu sunt niciodată mai robuste decât veriga lor cea mai slabă. Iar în cazul rsETH, acea verigă a fost un singur verificator, într-o zi de sâmbătă oarecare.
Intrebari frecvente(FAQ)
rsETH este un liquid staking token emis de Kelp DAO, un derivat care reprezintă ether mizat în soluții de restaking precum EigenLayer. Deținătorii primesc rsETH în schimbul ETH-ului depus și îl pot folosi ca garanție pe alte platforme pentru a obține randament suplimentar. A devenit ținta atacului din aprilie 2026 pentru că circula prin podul Layer Zero cu o configurație de securitate minimală, bazată pe un singur verificator, ceea ce l-a transformat într-un vector ideal pentru un adversar dispus să investească în compromiterea infrastructurii.
Kelp DAO folosea o configurație de tip 1-of-1 pentru rsETH, adică un singur DVN, operat chiar de Layer Zero, valida toate tranzacțiile cross-chain. Când acel verificator unic a fost compromis, nu a mai existat niciun mecanism de rezervă care să blocheze tranzacțiile frauduloase. Layer Zero susține că atacul a fost unul de tip RPC-spoofing, cu DDoS asupra nodurilor neafectate pentru a forța căderea pe cele compromise. Dezvoltatori independenți, precum banteg, au respins această caracterizare, argumentând că breșa pare mai degrabă rezultatul unui implant direcționat în interiorul perimetrului de încredere al infrastructurii Layer Zero.
Atacatorul nu a vândut rsETH-ul furat, pentru că o astfel de vânzare ar fi prăbușit prețul și ar fi atras atenția imediată. L-a folosit în schimb drept colateral pentru a împrumuta peste 236 de milioane de dolari în WETH de pe Aave V3 și alte protocoale similare. Odată ce piețele au înțeles ce s-a întâmplat, utilizatorii au intrat în panică și au început să-și retragă fondurile. Lipsa de WETH a blocat mecanismele de lichidare, a crescut brusc dobânzile și a transformat o pierdere tehnică într-o criză de lichiditate generalizată. În final, peste 9 miliarde de dolari au părăsit protocolul în mai puțin de 48 de ore.
Nimic nu este tranșat la acest moment. Estimările privind datoria rea variază între 76 de milioane și 341 de milioane de dolari, după calculele dezvoltatorului DeFiLlama 0xngmi. Aave dispune de două fonduri de rezervă, Umbrella cu 55 de milioane și modulul de siguranță precedent cu peste 280 de milioane, dar accesarea lor depinde de votul guvernanței descentralizate. Marc Zeller de la ACI estimează că depunătorii de WETH vor suporta o tăiere de 5 până la 8 la sută. Kelp DAO se pregătește să transfere responsabilitatea către Layer Zero, invocând documentația și setările implicite. Procesul de stabilire a distribuției pierderilor poate dura săptămâni sau luni de zile.
Lazarus Group este denumirea sub care agențiile occidentale grupează echipele de atac cibernetic afiliate regimului din Coreea de Nord. Gruparea are un istoric îndelungat de operațiuni împotriva platformelor crypto, cu pagube cumulate estimate la miliarde de dolari, iar veniturile obținute finanțează parțial programul de rachete balistice al regimului. Atribuirea atacului din aprilie 2026 către Lazarus se bazează pe tiparul de operare, pe infrastructura utilizată, pe nivelul de sofisticare și pe secvența mișcărilor post-exploit, toate consistente cu incidente anterioare deja atribuite grupării cu certitudine rezonabilă.
Pe termen scurt, Layer Zero a anunțat că nu va mai accepta să opereze ca DVN unic pentru proiectele care rămân pe configurații 1-of-1 și va îndemna migrarea spre setări multi-DVN cu redundanță. Aave urmează să-și recalibreze politicile de risc și să revizuiască modul în care listează active noi drept colateral acceptat. La nivel mai larg, se poartă discuții despre introducerea unor limite de ritm pentru fluxurile prin poduri și pentru acceptarea de garanții, precum și despre clarificarea ordinii de prioritizare a creanțelor în caz de deficit. Rămâne de văzut dacă presiunea actuală va fi suficientă pentru ca aceste reforme să treacă din stadiul de discuție în forumuri în cel de implementare concretă.
