Egy exploit után sokszor csak később derül ki, mennyire nagy a baj. Az első headline általában az ellopott összeg, de a valódi strukturális kár gyakran csak órákkal vagy napokkal később válik láthatóvá, amikor a fertőzés átterjed a hitelezésre, a fedezetekre, a likviditásra és végül a felhasználói bizalomra is.
A Kelp-hack: 292 millió dollár, 46 perc, és az RPC-infrastruktúra mint belépési pont
A KelpDAO-nál az első sokk önmagában is elég súlyos volt. Április 18-án egy támadó a Kelp DAO LayerZero-ra épülő cross-chain hídját kompromittálta, és 116.500 rsETH-t szerzett meg, ez az összeg a teljes rsETH-kínálat körülbelül 18%-a, piaci értéke kb. 292–294 millió dollár, ami 2026 eddigi legnagyobb DeFi-feltörése.
A Kelp vészhelyzeti multisigje 46 perccel később tudta leállítani a hidat, de addigra a lopott összeg mintegy 250 millió dollárnyi részét már etherré váltotta a támadó.
A LayerZero jelentése szerint a támadás a Lazarus-csoport TraderTraitor alegységéhez köthető, akik az RPC-infrastruktúrát mérgezték meg, majd túlterheléses, úgynevezett DDoS-forgalommal irányítottak át csomópontokat rosszindulatú endpontokra, így tudtak hamis cross-chain tranzakciókat kovácsolni.
— LayerZero (@LayerZero_Core) April 20, 2026
A Kelp egyetlen DVN-t futtatott az ajánlott multi-DVN konfiguráció helyett, és ez volt a gyenge pont.
Ez már önmagában mutatja, hogy a DeFi-kockázat már nem csak a kódban, hanem az egész köré épülő működési infrastruktúrában ott van.
Az Aave-csata: 196 millió dollár kölcsön, de van egy kis bökkenő
Ami viszont igazán árulkodó jel, az az Aave körüli fertőzés volt. A támadó nem azért vette fel az rsETH-t, hogy megtartsa, hanem azonnal bedobta az Aave V3-ba és V4-be fedezetként, és így körülbelül 196 millió dollár értékű WETH-t és ETH-t vett fel kölcsön, majd Tornado Cashen keresztül mosta tisztára.
A fedezet, az rsETH, ekkor már értéktelen volt, mert az mögöttes tartalékok kiürültek, és normál likvidációs mechanizmussal nem lehetett elárverezni.
Az Aave lending pool utilizációs rátája 100%-ra szökött, ami azt jelenti, hogy azok a felhasználók, akik előzetesen ETH-t és wETH-t helyeztek el a platformon, a fertőzés csúcsán nem tudtak hozzáférni a saját betéteikhez.
Az Aave-ből egyidejűleg több, mint 5,4 milliárd dollárnyi ETH-kivonási igény érkezett, ez pedig az azonnali bizalomvesztés és a pánik kézzelfogható jele. Az AAVE-token árfolyama 10%-ot esett, a stETH és wstETH is közel 4%-ot veszített.
Az Aave saját kódját senki nem törte fel. Stani Kulechov, az Aave alapítója azonnal megerősítette, hogy az rsETH-nak nem volt kölcsönzési jogosultsága a platformon, és a V3 és V4 közvetlenül nincs kitéve az rsETH-nak.
Mégis a platform kockázati profilja napokon belül leromlott, mert egy külső rendszerből érkező, hirtelen megkérdőjeleződött fedezet rátelepedett.
Ez a modern DeFi egyik legfontosabb tanulsága: néha nem a saját hibád visz bajba, hanem az, hogy túl szorosan vagy összekötve másokkal, és ő hibájuk visszaüt.
Mi jön ezután: multi-DVN, rate limitek és az „ha feltörik, ne fertőzzön tovább” elv
A hack strukturális utóhatása ezért legalább annyira fontos, mint maga az exploit.
A LayerZero azonnal lépett, és felgyorsítja az összes single-DVN alkalmazás multi-DVN konfigurációra való átállítását, emellett felfüggesztette az aláírást az 1-of-1 konfigurációknál.
A BitGo, a Polygon és a Katana szintén gyors védelmi intézkedéseket lépett életbe. A cross-chain tranzakciók óránkénti plafon-korlátozásáról szóló javaslat támogatása is felerősödött, mivel egy kompromittálás esetén nagyságrendekkel kisebb lehetne a maximális veszteség, ha van sebességkorlátozás.
In abundance of caution, BitGo, alongside @BiTGlobalTrust, have made the decision to take down the LayerZero OFT DVNs for @WrappedBTC until network-wide security and safety can be ascertained.
User funds remain secure and updates will be shared as more information becomes…
— BitGo (@BitGo) April 19, 2026
Vagyis a jövő DeFi-biztonsága egyre kevésbé csak a „ne törjék fel” logikáról, és egyre inkább a „ha feltörik, legalább ne fertőzzön tovább” elvről szólhat majd.
Egy nagy hack után nem elég azt nézni, melyik protokollt érte a támadás. Ugyanilyen fontos figyelni arra, milyen tokenek szolgálnak fedezetként máshol, hol tűnik el a likviditás, és mennyire gyorsan tudják a platformok elszigetelni a fertőzést, mielőtt az egész ökoszisztéma megbetegszik.
Olvastad már? Kriptoszabályozás: ahol tiltják, onnan elmegy a pénz
Kriptoworld.hu szerkesztője, a Kriptoworld.hu alapítója
LinkedIn | X (Twitter) | Facebook
A Kriptoworld.hu alapítójaként és szerkesztőjeként írásaiban azt vizsgálom, hogyan alakítják át a gazdasági és technológiai változások az emberek döntéseit, biztonságérzetét és jövőképét. Olyan nézőpontból írok, amely a gyors hírek mögötti következményeket és kérdéseket keresi. Hiszek abban, hogy a kriptovilágról nem csak technikailag, hanem emberi nyelven is lehet hitelesen beszélni. Írásaim célja nem tanácsadás, hanem megértés: segíteni eligazodni egy olyan világban, ahol a pénz, a technológia és a bizalom egyszerre változik.
📅 Megjelenés: 2026. április 21. • 🕓 Utolsó frissítés: 2026. április 21.
✉️ Kapcsolat: [email protected]
Tájékoztatás: A kriptoworld.hu oldalon található információk és elemzések a szerzők magánvéleményét tükrözik. A jelen oldalon megjelenő írások, cikkek nem valósítanak meg a 2007. évi CXXXVIII. törvény (Bszt.) 4. § (2). bek 8. pontja szerinti befektetési elemzést és a 9. pont szerinti befektetési tanácsadást.
Bármely befektetési döntés meghozatala során az adott befektetés megfelelőségét csak az adott befektető személyére szabott vizsgálattal lehet megállapítani, melyre a jelen oldal nem vállalkozik és nem is alkalmas. Az egyes befektetési döntések előtt éppen ezért tájékozódjon részletesen és több forrásból, szükség esetén konzultáljon befektetési tanácsadóval!
A cikkekben megjelenő esetleges hibákért téves információkból eredendő anyagi károkért a kriptoworld.hu felelősséget nem vállal.