Czy jeden atak może w ciągu weekendu wstrząsnąć fundamentami całego ekosystemu zdecentralizowanych finansów? Miniony weekend 18-20 kwietnia 2026 roku przyniósł odpowiedź, która zatrzęsła rynkiem kryptowalut. Świat DeFi przeżył jeden z najbardziej dramatycznych kryzysów w swojej historii, a wszystko zaczęło się od ataku na stosunkowo niszowy protokół Kelp DAO.

Jak upadek jednego protokołu sparaliżował cały rynek?

Atak był precyzyjnie zaplanowany. Hakerzy ukradli 116 500 tokenów Kelp DAO Restaked ETH (rsETH) o łącznej wartości około 293 milionów dolarów, wykorzystując most oparty na technologii LayerZero. Kluczowe było to, że emisja nie była zabezpieczona żadnym depozytem ETH.

Skradzione tokeny posłużyły następnie jako zabezpieczenie w protokole Aave v3, gdzie napastnicy zaciągnęli pożyczki w tokenizowanym Etherze. W efekcie w Aave powstał „zły dług” o wartości około 195-196 milionów dolarów – należności, których odzyskanie jest co najmniej wątpliwe.

Se robaron USD 292M de Kelp DAO.
Es el hack más grande de DeFi en lo que va del 2026.
AAVE, Spark, Fluid, Lido y Ethena tuvieron que freezar contratos de emergencia.

Efekt domina, który zamroził miliardy

Skutki okazały się nieproporcjonalnie rozległe. Całkowita wartość zablokowana (TVL) w Aave – największym protokole pożyczkowym DeFi – spadła z około 26,4 miliarda dolarów do 18,6-20 miliardów dolarów w ciągu weekendu. To utrata niemal 8 miliardów dolarów w niecałe dwie doby.

Token AAVE stracił ponad 20% swojej wartości, osuwając się z poziomu 115 dolarów w sobotę do 89,5 dolarów 24 godziny później. Wśród największych „wielorybów” wycofujących środki znalazły się giełda MEXC oraz fundusz Abraxas Capital, wypłacając odpowiednio 431 milionów i 392 miliony dolarów.

We are closely monitoring the situation with the KelpDAO hack.
Please be assured: Grvt funds are NOT affected.
As a precautionary measure, we have withdrawn all TVL from Aave.
Funds are safe. 🔒

Ale to nie koniec. Pule pożyczkowe Aave v3 dla USDT i USDC osiągnęły 100% wykorzystania, co oznacza, że stablecoiny o wartości ponad 5,1 miliarda dolarów zostały faktycznie zamrożone. W momencie pisania artykułu z puli USDT o wartości 2,87 miliarda dolarów dostępne do natychmiastowej wypłaty były dosłownie 2 540 dolarów.

Panika rozlewa się na cały ekosystem

Mechanizm kryzysu opisał Josu San Martin: „Deponenci ETH nie mogą wypłacić ETH, więc pożyczają stablecoiny, żeby ‘wypłacić’ środki. Teraz deponenci stablecoinów też nie mogą wypłacić, więc pewnie pożyczają inne aktywa… To pełna panika w AAVE”.

Kryzys nie ograniczył się do Aave. Kilka sieci i protokołów powiązanych z rsETH lub mostem LayerZero – w tym Curve Finance, emitent stablecoinów Ethena oraz Wrapped Bitcoin od BitGo – wstrzymało korzystanie z mostu. Panika wywołała masowe wypłaty nawet z protokołów na Solanie. Całkowity TVL całego ekosystemu DeFi skurczył się o 10 miliardów dolarów ze 99 do 89 miliardów.

Czy system bezpieczeństwa Aave zdał egzamin?

Aave zareagowało, zamrażając rynki rsETH w wersjach v3 i v4, a następnie wstrzymując transakcje wETH w sieciach Ethereum, Arbitrum, Base, Mantle i Linea. Protokół poinformował, że rsETH w sieci głównej Ethereum pozostaje w pełni zabezpieczony aktywami bazowymi.

Update on rsETH incident:
According to our analysis, rsETH on Ethereum mainnet is fully backed.
Out of an abundance of caution, rsETH remains frozen across Aave V3 and V4 and exposure to the incident is capped.

Incydent stał się pierwszym poważnym testem dla modelu bezpieczeństwa „Umbrella”, wdrożonego przez Aave w czerwcu 2025 roku. Kontekst zarządczy sprawia, że sytuacja jest jeszcze bardziej niepokojąca. Zaledwie kilkanaście dni przed atakiem, 6 kwietnia, Aave zakończyło współpracę z Chaos Labs, swoim najdłużej działającym dostawcą usług zarządzania ryzykiem.

Chaos holds a simple principle: we only put our name on work we fully believe in.
Principles matter when they cost you something.
Today it’s costing us $5 million.

Rozmowy z hakerami i głębszy problem

Na osobliwość sytuacji zwraca uwagę fakt, że do rozmowy z hakerami włączył się sam Justin Sun, twórca sieci TRON, zwracając się bezpośrednio do sprawców: „OK – haker Kelpdao, ile chcesz? Po prostu pogadajmy. Z pomocą KelpDAO, oczywiście. Po prostu nie warto poświęcać zarówno Aave, jak i KelpDAO”.

Komentator Crypto Kakarot ujął dramatyzm chwili: „Aave jest kręgosłupem świata DeFi… Ale teraz, gdy Aave zawiódł i istnieje ryzyko zarażenia. To pokazuje kruchość całego systemu”.

Ekosystem DeFi stoi przed dylematem, którego nie da się rozwiązać za pomocą kolejnej aktualizacji kodu. Wzajemne powiązania protokołów, będące fundamentem ich wartości, okazują się w momentach kryzysu wektorem błyskawicznego przenoszenia zarazy. To największy hack w DeFi w roku 2026, a rok dopiero się zaczyna.