Kripto-rat 2026: Kelp DAO i LayerZero u klinču nakon pljačke od 292 miliona dolara

Dok se globalna zajednica za sajber-bezbednost bori da uđe u trag digitalnim nomadima koji stoje iza najvećeg kripto-napada u 2026. godini, svet decentralizovanih finansija (DeFi) potresa još jedna drama. Pored gubitka od skoro 300 miliona dolara, u centru pažnje je žestok sukob između dva giganta – protokola za likvidni restejking Kelp DAO i infrastrukturnog provajdera LayerZero.

Ono što je počelo kao tehnički proboj, brzo se pretvorilo u javnu “igru svaljivanja krivice” (blame game), dok istražitelji polako sklapaju mozaik onoga što bi moglo biti delo ozloglašene severnokorejske grupe Lazarus.

Hronologija haosa: Kako je nestalo 292 miliona dolara?

Napad se dogodio 18. aprila 2026. godine, ciljajući Kelp-ov rsETH (liquid restaking token) most koji povezuje preko 20 različitih blockchain mreža. Koristeći sofisticiranu metodu trovanja RPC (Remote Procedure Call) čvorova i koordinisani DDoS napad, hakeri su uspeli da nateraju sistem da pređe na kompromitovanu infrastrukturu.

U roku od svega nekoliko minuta, sa protokola je isisano približno 116.500 rsETH, što čini oko 18% ukupne cirkulišuće zalihe ovog tokena. Iako je Kelp DAO uspeo da aktivira “dugme za pauzu” u roku od 46 minuta i spreči krađu dodatnih 40.000 rsETH, šteta je već bila astronomska.

Arbitrum uzvraća udarac: Zamrznuti milioni

Prvi značajan kontranapad usledio je u utorak ujutru, kada je Bezbednosni savet Arbitruma saopštio da je uspeo da zamrzne 30.766 ETH (oko 71 milion dolara) na adresi direktno povezanoj sa napadačem.

Ovaj potez je presedan u svetu koji propagira “kod je zakon” (code is law). Savet je naglasio da su delovali u bliskoj saradnji sa organima reda i nakon duboke tehničke analize. Sredstva su prebačena na siguran posrednički novčanik, a njihova dalja sudbina – da li će biti vraćena oštećenim korisnicima ili Kelp DAO protokolu – zavisiće od odluke Arbitrum zajednice putem glasanja (governance).

Kelp DAO vs. LayerZero: Ko je ostavio otvorena vrata?

Dok istražitelji prate tragove novca, Kelp DAO i LayerZero su ušli u javni rat rečima oko toga čija je bezbednosna polisa zakazala.

Argumentacija LayerZero-a:
 Predstavnici LayerZero-a tvrde da je Kelp DAO svesno koristio nesigurnu konfiguraciju. Prema njihovim rečima, Kelp je postavio tzv. “1-of-1 DVN” (Decentralized Verifier Network) postavku. To u praksi znači da je bila potrebna potvrda samo jednog verifikatora da bi se transakcija odobrila. LayerZero tvrdi da su više puta savetovali klijente da koriste multi-potpisne (multi-sig) postavke kako bi se izbegla jedna tačka neuspeha.

Odgovor Kelp DAO-a:
 Sa druge strane, tim Kelp DAO-a oštro odbacuje ove optužbe. Oni tvrde da je konfiguracija koju su koristili bila “dokumentovani podrazumevani standard” koji je LayerZero nudio tokom njihove ekspanzije. Kelp tvrdi da su direktno komunicirali sa LayerZero timom koji je potvrdio da je njihova postavka adekvatna. Prema njihovom viđenju, problem nije bio u njihovom izboru, već u kompromitovanoj infrastrukturi samog LayerZero-a.

Lančana reakcija: DeFi na kolenima

Posledice ovog hakovanja osetili su i drugi veliki protokoli. Aave, najveći svetski DeFi zajmodavac, morao je da apsorbuje skoro 177 miliona dolara lošeg duga jer je vrednost rsETH-a naglo opala, ostavljajući mnoge pozicije nedovoljno kolateralizovanim. Platforme poput SparkLend i Fluid hitno su zamrzle svoja tržišta rsETH-a kako bi sprečile totalni kolaps.

Da li je Lazarus ponovo udario?

Iako zvanična potvrda još uvek tinja, analitičari iz kompanija za bezbednost, uključujući i sam LayerZero, ukazuju na to da napad nosi sve odlike TraderTraitor jedinice, koja je deo severnokorejske Lazarus grupe. Njihov potpis se ogleda u preciznom ciljanju infrastrukture i neverovatnoj brzini kojom se ukradena sredstva mešaju kroz različite protokole za anonimizaciju.

Zaključak: Lekcija za budućnost

Ovaj incident je bolan podsetnik na to koliko je DeFi ekosistem još uvek ranjiv, uprkos milijardama dolara koje teku kroz njega. Pitanje odgovornosti između provajdera infrastrukture (LayerZero) i korisnika te infrastrukture (Kelp DAO) verovatno će završiti na sudu, ali će pravi gubitnici ostati obični korisnici čija su sredstva postala deo “lošeg duga”.

Dok Arbitrum zajednica priprema glasanje o sudbini zamrznutih 71 milion dolara, cela industrija čeka da vidi da li će se ovaj presedan centralizovane intervencije u decentralizovanom svetu postati novi standard za hitne slučajeve.

Tehnička anatomija napada: Kako radi “RPC trovanje”?

Da bismo razumeli kako su hakeri prevarili Kelp DAO, moramo posmatrati RPC (Remote Procedure Call) čvorove kao “telefonske linije” preko kojih aplikacije komuniciraju sa blockchainom.

Mehanizam manipulacije:
 U normalnim okolnostima, Kelp DAO koristi mrežu pouzdanih čvorova za potvrdu stanja na mostu. Međutim, napadači su izveli “BGP hijacking” (otmicu protokola za rutiranje interneta) kako bi preusmerili saobraćaj ka svojim, zlonamernim čvorovima.

Kada je Kelp-ov sistem pokušao da proveri da li su sredstva deponovana na jednoj mreži pre nego što ih “otključa” na drugoj, dobio je potvrdan odgovor od otrovanog RPC čvora. Istovremeno, napadači su pokrenuli DDoS napad na legitimne verifikatore, čime su ih privremeno izbacili iz stroja. Sistem je, prateći automatske protokole za hitne slučajeve, prešao na “rezervne” (failover) čvorove – koji su, nažalost, bili pod kontrolom hakera.

Fatalna 1-of-1 konfiguracija:
 Ovde dolazi do srži sukoba sa LayerZero-om. Zbog te “1-of-1” postavke, sistemu je bio potreban samo jedan potpis od strane kompromitovanog DVN-a da bi odobrio masovne isplate. Da je bio postavljen “2-of-3” ili “3-of-5” model, napadači bi morali da kompromituju više nezavisnih infrastrukturnih provajdera istovremeno, što je eksponencijalno teže.

Arbitrum DAO: Glasanje koje prati ceo svet

Zamrzavanje 30.766 ETH od strane Bezbednosnog saveta Arbitruma bio je “interventni hirurški rez”, ali Savet nema trajno ovlašćenje da raspolaže tim novcem. Ta moć sada leži u rukama Arbitrum DAO-a (držaoca ARB tokena).

Status glasanja i predlozi:
 Trenutno se na forumu za upravljanje vode žustre rasprave oko tri glavna predloga:

Potpuna restitucija korisnicima: Ovaj predlog predviđa da se svih 71 milion dolara direktno distribuira korisnicima koji su izgubili sredstva, srazmerno njihovom udelu u rsETH bazenima u trenutku hakovanja.

Pokrivanje Aave “lošeg duga”: Grupa delegata predlaže da se značajan deo sredstava usmeri ka Aave protokolu. Cilj je da se stabilizuje rsETH tržište i spreči dalja likvidacija korisnika koji su koristili Kelp-ov token kao kolateral.

Fond za pravne bitke i nagrade (Bounty): Manji deo sredstava bi se izdvojio za “white hat” hakere (ukoliko neko iz grupe odluči da vrati ostatak novca uz amnestiju) i za finansiranje pravnog tima koji bi gonio počinioce.

Politički rizik:
 Postoji velika zabrinutost oko pravnog presedana. Ako DAO glasa za vraćanje novca, to potvrđuje da Arbitrum nije “potpuno imun” na intervencije, što bi moglo privući pažnju regulatora (SEC). S druge strane, ako ne vrate novac, poverenje u Kelp i Arbitrum ekosistem bi moglo trajno nestati.

Glasanje se očekuje u narednih 7 do 10 dana putem Snapshot platforme, a zatim i kroz “on-chain” izvršenje na Tally-ju.

Šta dalje?
 Glavno pitanje ostaje sudbina preostalih 221 milion dolara koji su već prošli kroz miksere (Tornado Cash i Railgun). Svi pogledi su uprti u Chainalysis i Elliptic, koji pokušavaju da identifikuju izlazne tačke na menjačnicama.