A régi, egyszerűsített magyarázat szerint a DeFi-ben a kockázat ott kezdődött és végződött, hogy „meghekkelték a protokollt”.
A mostani incidensek viszont azt mutatják, hogy a veszély a teljes rendszerben oszlik el: a hídnál, az árképzésnél, a veszteség-becslésnél és még a webes hozzáférési rétegnél is.
Kelp: 293 millió dollár, 46 perces reakció, kilenc érintett protokoll
A Kelp-eset mérete ezért sokkoló. Április 18-án egy támadó a Kelp DAO LayerZero-ra épülő cross-chain híd okosszerződését kompromittálta: egyetlen tranzakcióban 116 500 rsETH tokent vont ki a rendszerből, mintegy 292–293 millió dollár értékben.
A múlt héten írtuk, hogy 2026 legnagyobb támadása eddig a Drift esete volt, és erre tessék, már meg is van az új rekord. Ez 2026 legnagyobb DeFi-feltörése.
Earlier today we identified suspicious cross-chain activity involving rsETH. We have paused rsETH contracts across mainnet and several L2s while we investigate.
We are working with @LayerZero_Core, @unichain, our auditors and top security experts on RCA.
We will keep you…
— Kelp (@KelpDAO) April 18, 2026
A mechanizmus lényege viszonylag egyszerű, a támadó a LayerZero cross-chain üzenet-közvetítőjét manipulálta úgy, hogy egy hamis utasítást legitimnek fogadjon el, mire a híd kiengedte a tokenneket egy támadó által irányított tárcába.
A Kelp vészhelyzeti multisig 46 perccel később tudta leállítani a szerződéseket, de addigra az rsETH nagy részét már etherré váltotta a támadó, az Aave pedig kénytelen volt V3-on és V4-en egyaránt befagyasztani az rsETH-piacokat, legalább kilenc protokoll érintettségével.
Ez a támadás megmutatta, hogy itt nem egy magányos okosszerződés-bug jelentette a gyenge láncszemet, hanem a DeFi struktúrájának a sérülékenysége.
Ha egy összekötő elem, jelen esetben a LayerZero-alapú híd, hibás, az dominószerűen rántja magával a többi rendszert.
Rhea Finance: két nap előkészítés, 423 tárca, és a kár a duplája, mint elsőre látszott
A Rhea Finance ügye pedig azt mutatja, hogy még a kezdeti veszteség-becslés is félrevezető lehet.
A NEAR-ökoszisztéma legnagyobb DeFi-hubjaként számon tartott Rhea Finance az eredeti, a CertiK által jelzett 7,6 millió dolláros becslést utólag 18,4 millió dollárra emelte, miután az április 18-án publikált post-mortem jelentés feltárta, hogy a támadás valójában két napot vett igénybe.
We have seen an incident affecting @rhea_finance
The attacker created fake token contracts and added liquidity in fresh pools, likely misleading the oracle and validation layer.
In total, at least ~$7.6M was extractedhttps://t.co/qxuAFsVCOA
— CertiK Alert (@CertiKAlert) April 16, 2026
A támadó előzetesen 423 közbenső tárcát hozott létre, hamis token poolokat telepített, majd egy slippage protection bugot használt ki: a mechanizmus nem kezelte azt az esetet, amikor a közbenső token többszörösen szerepelt a csere láncolatában, így kétszer számolta be ugyanazt az értéket, ezzel kiváltva egy tömeges likvidációt.
A veszteség egy része visszakerült, miután a Tether befagyasztott 3,29 millió USDT-t a támadó tárcájában, a NEAR Intents további 1,05 milliót zárol, és maga a támadó is visszaküldött mintegy 4,9 millió dollárnyi eszközt.
A fő tanulság, hogy a DeFi-ben néha még a kár sem ott keletkezik, ahol elsőre hisszük, és nem annyi, mint amit az első jelentések mutatnak.
A post-mortem egy héttel később sem mindig a végső szó, és a részleges visszakerülés sem jelenti azt, hogy a sebezhetőség megszűnt.
eth.limo: a decentralizált frontend mögött a nagyon is régi DNS
Az eth.limo DNS-eltérítésének a figyelmeztetése egy teljesen más réteget világít meg.
Vitalik Buterin április 18-án arra figyelmeztetett, hogy senki ne használjon eth.limo URL-eket, mert az ENS gateway domainjét a regisztrátori szinten kompromittálták, és a forgalmat rosszindulatú oldalakra lehetett volna átirányítani.
Az ENS és az IPFS decentralizált rétege nem sérült, a gyenge pont a hagyományos webes DNS-infrastruktúra volt. A felhasználó ezt nem érzi annak, és ez a fajta támadás pont ezért lehet veszélyes.
A DeFi legtöbbet ismételgetett, legfőbb biztonsági intézkedése a kód auditálásáról szól, de a Kelp-hack a hídnál, a Rhea-eset a becslési módszertannál, az eth.limo-figyelmeztetés pedig a DNS-rétegnél mutatta meg a valódi lyukakat.
Már mi is többször megírtuk, de sajnos ismét azt kell mondanunk, hogy a DeFi-ben már nem elég azt kérdezni, hogy auditálták-e a kódot.
Ugyanilyen lényeges, hogy milyen híd kapcsolódik a protokollhoz, hogyan számítja a veszteséget a csapat az első 24 órában, és mennyire megbízható az a webes belépési pont, amin keresztül egyáltalán eléred a pénzed.
Olvastad már? A stablecoinok már nem csak eszközök – új pénzügyi rendszer épül
Kriptopiaci kutató, a Kriptoworld.hu külsős szerzője
Tűz. Kerék. Gőzgép. Bitcoin.
📅 Megjelenés: 2026. április 20. • 🕓 Utolsó frissítés: 2026. április 20.
✉️ Kapcsolat: [email protected]
Tájékoztatás: A kriptoworld.hu oldalon található információk és elemzések a szerzők magánvéleményét tükrözik. A jelen oldalon megjelenő írások, cikkek nem valósítanak meg a 2007. évi CXXXVIII. törvény (Bszt.) 4. § (2). bek 8. pontja szerinti befektetési elemzést és a 9. pont szerinti befektetési tanácsadást.
Bármely befektetési döntés meghozatala során az adott befektetés megfelelőségét csak az adott befektető személyére szabott vizsgálattal lehet megállapítani, melyre a jelen oldal nem vállalkozik és nem is alkalmas. Az egyes befektetési döntések előtt éppen ezért tájékozódjon részletesen és több forrásból, szükség esetén konzultáljon befektetési tanácsadóval!
A cikkekben megjelenő esetleges hibákért téves információkból eredendő anyagi károkért a kriptoworld.hu felelősséget nem vállal.