Ztráty v sektoru DeFi přesáhly 600 milionů USD; exploit protokolu Kelp DAO srazil TVL na roční minimum

Exploit protokolu Kelp DAO z 18. dubna 2026, při kterém útočníci vyrazili 116 500 nekrytých rsETH prostřednictvím kompromitace jediného verifikačního uzlu LayerZero, vyvolal v posledních týdnech v celém sektoru DeFi ztráty přesahující 600 milionů USD. Celkové škody napříč protokoly se přitom blíží hranici 1 miliardy USD.

Následný efekt je již patrný on-chain: celková uzamčená hodnota (TVL) v sektoru DeFi se podle údajů DefiLlama propadla na nejnižší úroveň za posledních dvanáct měsíců, jelikož se zrychluje odliv kapitálu z protokolů pro restaking, půjčky a cross-chain bridge.

Zásadní otázkou, kterou tato událost vyvolává, není to, zda Kelp DAO selhal – z architektonického hlediska se tak stalo. Otázkou je, zda jediný chybně nakonfigurovaný verifikátor právě neodhalil systémovou křehkost celého cross-chain stacku DeFi.

Objevte: Nejlepší kryptoměny pro diverzifikaci portfolia

Jak jediný verifikační uzel shodil 600 milionů USD v DeFi

Selhání bylo architektonické, nikoliv strukturální, a tento rozdíl je zásadní pro posouzení zbytku cross-chain infrastruktury DeFi. Bridge protokolu Kelp DAO pro rsETH spoléhal na jediný uzel Decentralizované verifikační sítě (DVN) pro autentizaci zpráv LayerZero – šlo o konfiguraci „1 z 1“, na kterou bezpečnostní firma Halborn již dříve upozorňovala.

Útočníci, které LayerZero identifikovalo jako podskupinu TraderTraitor ze skupiny Lazarus Group, kompromitovali dva RPC uzly dodávající data tomuto verifikátoru, spustili DDoS útoky proti záložním uzlům, aby vynutili převzetí služeb při selhání, a poté podstrčili falešnou zprávu, která vyrazila 116 500 rsETH bez jakéhokoli podkladového kolaterálu.

Ukradené rsETH se rychle přesunuly. On-chain data ukazují, že útočník je směnil za ETH a Arbitrum pomocí půjček napříč platformami Aave, SparkLend a Fluid, přičemž k maskování poplatků za plyn použil Tornado Cash. Malware se po útoku z kompromitovaných RPC uzlů sám smazal, čímž záměrně odstranil forenzní záznamy. Více informací o tom, jak vyšetřování LayerZero přisoudilo útok konkrétnímu pachateli a o mechanismech sekvence otrávení RPC, je dokumentováno v detailních zprávách.

Earlier today we identified suspicious cross-chain activity involving rsETH. We have paused rsETH contracts across mainnet and several L2s while we investigate.

We are working with @LayerZero_Core, @unichain, our auditors and top security experts on RCA.

We will keep you…

— Kelp (@KelpDAO) April 18, 2026

Ztráty se začaly rychle nabalovat. 116 500 vyražených rsETH vytvořilo špatný dluh na úvěrových trzích, které přijaly rsETH jako kolaterál bez dostatečného ověření jeho krytí – šlo o „ozvěnovou komoru“ pro zfalšované zprávy, jak popsala firma Halborn. Společnost Allium, která analyzovala mezeru v ověřování po incidentu, poznamenala, že „nástroje fungovaly tak, jak byly navrženy. Způsob, jakým byly nakonfigurovány, však nikoliv.“

To není jen drobná poznámka: znamená to, že exploit nevyžadoval žádnou zero-day zranitelnost, pouze chybnou konfiguraci, která byla zdokumentována a před kterou bylo předem varováno.

Architektury verifikátorů s jediným bodem selhání jsou nyní zdokumentovaným útočným vektorem a Kelp DAO nebude posledním protokolem, který takový systém využívá.

TVL na ročním minimu: Co skutečně signalizují data o odlivu kapitálu

Agregovaná TVL v DeFi se pod makroekonomickým tlakem snižovala již během prvního čtvrtletí roku 2026, ale exploit Kelp DAO urychlil tento pokles do podoby vertikálního propadu.

Data z DefiLlama ukazují odliv TVL ve výši 13 miliard USD během 48 hodin po útoku z 18. dubna. Takové tempo zaskočilo i protokoly jako Compound, které neměly přímou expozici vůči rsETH, ale přesto čelily výběrům v důsledku tržní paniky.

Čísla ztrát u jednotlivých protokolů jsou ještě mrazivější. TVL protokolu Aave se propadla z 26,4 miliardy USD na přibližně 18 miliard USD poté, co protokol zmrazil trhy s rsETH. Tento pokles o 8,45 miliardy USD byl způsoben uživateli, kteří snižovali riziko před možnou krystalizací špatného dluhu z pozic s otráveným kolaterálem.

Money is leaving DeFi at an unprecedented scale pic.twitter.com/bZ3m40wfs4

— wale.moca 🐳 (@waleswoosh) April 20, 2026

Rizikový tým Aave nyní modeluje dva scénáře špatného dluhu v závislosti na míře návratnosti u nekrytých rsETH, které byly použity jako kolaterál půjček před zmrazením trhů.

Komprese TVL nastiňuje dva odlišné budoucí scénáře. Pokud se odtoky stabilizují a Kelp zveřejní věrohodnou forenzní zprávu s mechanismem odškodnění, může se současná úroveň ukázat jako lokální nákaza – sice vážná, ale ohraničená. Pokud však modely špatného dluhu Aave ukáží významné ztráty a časový plán upgradu multi-DVN u LayerZero se protáhne za druhé čtvrtletí, lze očekávat druhou vlnu poklesu TVL, protože investoři hledající výnos zcela opustí restakingové protokoly ve prospěch méně propojených alternativ.

Ocenění governance tokenů již naceňují první scénář jako optimistický – token AAVE od exploitu ztratil přes 20 % a teze o zotavení závisí zcela na tom, zda Aave dokáže čistě uzavřít svou expozici vůči rsETH.

Objevte: Nejlepší předprodeje kryptoměnových tokenů