Pe 18 aprilie 2026, în timp ce piețele crypto deschideau o dimineață obișnuită, un grup de hackeri — angajații Republicii Populare Democrate Coreene — finalizau una dintre cele mai elaborate fraude din istoria finanțelor descentralizate. Victima: KelpDAO, un protocol de staking lichid cu sediul în Singapore. Suma dispărută: 292 de milioane de dolari, evaporate în câteva ore printr-un mecanism pe care foarte puțini utilizatori ai platformei l-ar fi putut înțelege, chiar dacă cineva le-ar fi explicat în timp real ce se întâmplă.
Cazul KelpDAO nu este povestea unui hacker solo care a găsit o breșă. Este povestea unui stat național care își folosește resursele de informații pentru a finanța programul de arme prin jafuri digitale. Și este povestea unui ecosistem DeFi care, în goana după randamente, a ignorat în mod sistematic avertismentele de securitate.
Cine, ce, când, unde, cât
Cine: Lazarus Group, subunitatea TraderTraitor, o echipă de hackeri angajați ai statului nord-coreean, confirmată de Chainalysis și FBI ca responsabilă pentru furturi crypto totalizând 7,3 miliarde de dolari de-a lungul timpului.
Ce: Exploatarea unui pod blockchain (bridge) prin compromiterea infrastructurii off-chain, cu injectare de tranzacții false care au drenat 116.500 rsETH (un token derivat din Ethereum).
Când: 18 aprilie 2026, cu efecte în cascadă până la 21 aprilie.
Unde: Protocoalele KelpDAO și LayerZero, cu impact secundar asupra Aave, una dintre cele mai mari platforme de împrumuturi DeFi.
Cât: 292 de milioane de dolari furtul direct. Peste 10 miliarde de dolari retrase din Aave în urma panicii. Circa 71 de milioane de dolari recuperate de Arbitrum. Restul: dispărut.
Cum a funcționat schema — pe înțelesul tuturor
Pentru a înțelege cum a funcționat atacul, trebuie să înțelegem ce este un „bridge” blockchain. Imaginați-vă două rețele bancare separate — să zicem, rețeaua bancară din Franța și rețeaua bancară din Germania. Un bridge este mecanismul care vă permite să transferați bani dintr-o rețea în alta. În lumea crypto, podurile conectează blockchain-uri diferite — Ethereum cu Arbitrum, Unichain cu rețeaua principală Ethereum.
KelpDAO opera un astfel de pod prin intermediul protocolului LayerZero. Când un utilizator ardea (burns) rsETH pe Unichain, podul trebuia să confirme că acea ardere a avut loc și să elibereze echivalentul în ETH pe Ethereum. Verificarea era asigurată de niște noduri — servere independente care citeau datele de pe blockchain și confirmau că tranzacțiile sunt legitime.
Lazarus Group a atacat tocmai aceste noduri. Nu aplicația, nu contractele inteligente, nu codul vizibil al platformei — ci infrastructura ascunsă în spatele scenei. Hackerii au compromis nodurile RPC (Remote Procedure Call) interne ale KelpDAO și au atacat prin DDoS nodurile externe, eliminând efectiv orice sursă alternativă de verificare. Rămâseseră singuri în cameră.
Odată ce controlau nodurile, au injectat date false: nodurile raportau că 116.500 rsETH fuseseră arși pe Unichain, când în realitate nu se întâmplase nimic. Podul, văzând confirmarea, a eliberat banii reali pe Ethereum — direct în portofelele atacatorilor.
Dar schema nu s-a oprit aici. Hackerii au depus 89.567 rsETH furați în platforma Aave ca garanție și au împrumutat 190 de milioane de dolari în Ethereum real. Oracle-ul de prețuri al Aave — un sistem automat care verifică valoarea de piață a activelor, dar nu și originea lor — evalua rsETH la prețul pre-exploatare. Aave nu știa că rsETH-ul depus era, în esență, furt. Până când platforma a înghețat piețele rsETH, 190 de milioane de dolari în ETH real dispăruseră.
Dacă prima parte a atacului era ca și cum ai falsifica un ordin de plată bancar. A doua parte era ca și cum ai folosi cecul fals pentru a obține un credit ipotecar real.
Vulnerabilitatea care a făcut totul posibil
Există un detaliu tehnic pe care rapoartele de securitate îl menționează cu o anumită reținere diplomatică, dar care merită subliniat fără menajamente: KelpDAO folosea o configurație 1-of-1 pentru verificatorul LayerZero. Adică un singur nod era responsabil pentru validarea tuturor transferurilor cross-chain.
LayerZero avertizase protocoalele cu privire la riscurile unui sistem cu un singur punct de eșec. Recomandarea standard în industrie este minimum 2-of-3: ai nevoie ca cel puțin două din trei noduri independente să confirme o tranzacție înainte ca banii să se miște. Cu această configurație, atacatorii ar fi trebuit să compromită simultan mai multe sisteme independente — mult mai dificil, potențial imposibil.
KelpDAO alesese calea mai ieftină și mai simplă. Un singur verificator. Un singur punct de atac. Un singur jaf de 292 de milioane de dolari.
Victimele — și de ce le e și puțin jenă să vorbească
Spre deosebire de schemele Ponzi clasice — unde victimele sunt pensionari sau salariați care au investit economiile de-o viață — utilizatorii tipici ai KelpDAO sunt persoane tehnice, familiarizate cu ecosistemul DeFi, care înțeleg (sau cred că înțeleg) riscurile pe care și le asumă.
KelpDAO era un protocol de restaking lichid: primeai rsETH în schimbul Ethereumului depus și câștigai randamente din mai multe surse simultan. Era produsul preferat al utilizatorilor sofisticați care voiau să maximizeze randamentul crypto fără să-și imobilizeze activele. Acești utilizatori știau că DeFi implică riscuri. Dar riscul pe care îl anticipau era un bug în contractele inteligente sau o volatilitate bruscă a pieței — nu un stat național cu capacități de spionaj cibernetic care le compromite infrastructura de validare.
Cei 116.500 rsETH aparțineau, în lanț, mai multor categorii: utilizatori individuali care depuseseră ETH direct, furnizori de lichiditate, și protocoale DeFi care integraseră rsETH în propriile produse. Granița dintre „victimă directă” și „pagubă colaterală” este neclară — tocmai pentru că în DeFi totul este interconectat.
Impactul real: circa 10 miliarde de dolari retrași din Aave în zilele care au urmat, pe fondul panicii. rsETH a pierdut 30% din valoare în câteva ore. Protocoalele care foloseau rsETH ca garanție s-au văzut brusc cu portofolii subevaluate.
Cel mai onest lucru care se poate spune despre victimele colective: au prezumat că cineva altcineva verificase securitatea infrastructurii.
Firul banilor — unde au ajuns cei 292 de milioane
Chainalysis a completat atribuirea în trei zile de la breșă, potrivind tiparele de utilizare a mixer-elor și metodologia de dispersare a fondurilor cu amprenta operațională cunoscută a Lazarus Group.
Fondurile furate au urmat traseul clasic nord-coreean: portofele intermediare multiple, mixer-e de criptomonede (Tornado Cash și variante), conversii între diferite tokenuri pentru a îngreuna urmărirea, și în final dispersare în portofele controlate de statul nord-coreean.
Pe 21 aprilie, Consiliul de Securitate al Rețelei Arbitrum a reușit să înghețe 30.766 ETH — aproximativ 71 de milioane de dolari — din fondurile atacatorilor. Aceasta reprezintă circa 24% din suma furată. O realizare notabilă, în condițiile în care blockchain-ul este prin design rezistent la cenzură și intervenție externă.
Restul de 76% din bani? Alimentează, potrivit rapoartelor oficiale americane și sud-coreene, programul de rachete și arme nucleare al Coreei de Nord. Lazarus Group și subunitățile sale au furat, cumulat, 7,3 miliarde de dolari din ecosistemul crypto. Banii aceștia nu dispar pur și simplu într-un buzunar privat — ei finanțează un stat rogue cu arme balistice.
Semnalele de alarmă ignorate
Cu retrospectiva la îndemână, lista este lungă.
Configurația 1-of-1. LayerZero documentase explicit riscurile. Orice auditor de securitate independent ar fi marcat acest lucru ca risc critic. KelpDAO a ales să nu schimbe configurația — probabil din motive de costuri și complexitate operațională.
Social engineering prealabil. Rapoartele ulterioare au dezvăluit că hackerii Lazarus Group petrecuseră luni întregi în faza de recunoaștere, inclusiv prin contact direct cu angajați KelpDAO sub pretextul unor oferte de muncă sau parteneriate. Aceasta este o tactică consacrată a grupului — extragerea de credențiale sau informații de infrastructură prin inginerie socială înainte de atac.
Lipsa unui sistem de monitorizare în timp real. Atacul a durat suficient de mult pentru ca hackerii să execute și a doua fază (Aave). Un sistem de monitoring activ, cu alerte pentru tranzacții neobișnuit de mari, ar fi putut declanșa un circuit breaker mai rapid.
Concentrarea dependenței. Faptul că rsETH era folosit ca garanție în Aave și alte protocoale majore a amplificat pierderile colaterale. Interconnectedness-ul DeFi este atractiv pentru randamente — și catastrofal în cazul unui exploit.
Industria știa că podurile blockchain sunt una dintre cele mai vulnerabile componente ale ecosistemului DeFi. Ronin Bridge — 625 de milioane de dolari în 2022. Nomad — 190 de milioane în 2022. Wormhole — 320 de milioane în 2022. Fiecare incident a produs rapoarte, postmortemuri, promisiuni de îmbunătățire. Și totuși, în 2026, un atac pe același vector — infrastructura de validare a unui pod — a produs cel mai mare jaf DeFi al anului.
Concluzie: Ce înseamnă asta pentru tine
Cazul KelpDAO este util pentru o lectură dincolo de titlul cu „milioane furate”. Câteva lecții concrete:
DeFi nu înseamnă „descentralizat” la nivelul la care contează. Contractele inteligente pot fi descentralizate, dar nodurile care le alimentează cu date sunt servere reale, cu adrese IP reale, administrate de oameni reali care pot fi compromisi. „Descentralizat” este un spectru, nu un atribut binar.
Auditurile nu acoperă tot. Contractele inteligente ale KelpDAO fuseseră auditate. Vulnerabilitatea nu era în cod — era în configurarea operațională a unui nod de validare. Câte alte protocoale au aceeași problemă? Nimeni nu știe exact.
Interconectarea înmulțește riscul. Dacă folosești un token derivat (rsETH) ca garanție pe o platformă de împrumuturi (Aave) care e integrată în alte zece protocoale, expunerea ta la un exploit al tokenului original este masivă, chiar dacă tu personal nu ai niciun rsETH.
Coreea de Nord nu va opri. Lazarus Group nu este o entitate care poate fi descurajată prin presiune diplomatică obișnuită. Este un departament guvernamental cu buget de stat și obiective strategice. Ecosistemul crypto va fi ținta lor atâta timp cât există oportunitate.
Dacă la finalul acestei lecturi ești tentat să spui că „nu e treaba ta, tu nu ești în DeFi” — e o perspectivă rezonabilă. Dar data viitoare când un exchange centralizat pe care îl folosești anunță că fondurile unui partener DeFi sunt temporar blocate, sau că lichiditatea unui anumit token a scăzut brusc, s-ar putea să fie tocmai efectul în cascadă al unui exploit ca acesta.
Crypto este un ecosistem mic și foarte interconectat. Când cade ceva de 292 de milioane de dolari, undele se simt mai departe decât crezi.
Surse: Coindesk, Chainalysis, Halborn Security, Bleeping Computer, Crypto Briefing, TRM Labs