Analytiker: Stor läcka kan tvinga bankerna att göra om sina kryptoplaner
Söndagen den 19 april tömde hackare 293 miljoner dollar från DeFi-protokollet Kelp DAO på 46 minuter. Attacken, kopplad till Nordkoreas Lazarus Group, tvingar nu Wall Street att ompröva takten i sina blockkedjesatsningar, enligt investmentbanken Jefferies.
Jefferies analytiker Andrew Moss varnar att storbankernas pågående kapplöpning att tokenisera fonder, obligationer och insättningar kan tvingas bromsa in till följd av hacket, enligt Coindesk.
En central sårbarhet i ett decentraliserat system
Hacket genomfördes via ett så kallat bryggsystem, ett tekniskt lager som möjliggör överföring av tillgångar mellan olika blockkedjenätverk. Kelps brygga täckte över 20 nätverk, inklusive Arbitrum, Base och Scroll, men förlitade sig på en enda validerare för att bekräfta transaktioner.
Ungefär tio timmar innan attacken finansierade angriparen, enligt The Street, en plånbok via Tornado Cash, ett integritetsverktyg som ofta används för att dölja spår. Genom det lades grunden för att manipulera kommunikationsprotokollet LayerZeros EndpointV2-kontrakt att tro att en legitim instruktion anlände från ett annat nätverk.
Följden blev att Kelps brygga frivilligt släppte 116 500 rsETH-tokens direkt till hackaren, utan täckning. Det motsvarar ungefär 18 procent av det totala cirkulerande utbudet av rsETH-tokens.
Kelp DAOs krisgrupp aktiverade ett protokollstopp kl. 18:21 UTC och frös insättningar, uttag och rsETH-token. Skadan var redan gjord.
Kaskadeffekterna skakade hela DeFi-ekosystemet
DeFi-applikationernas täta sammankoppling innebar att konsekvenserna spred sig snabbt. Aave, DeFi:s största utlåningsplattform med över 20 miljarder dollar i låsta tillgångar, frös omedelbart sina rsETH-marknader efter att hackaren använde de täckningslösa tokens som säkerhet för att låna tillgångar på plattformen.
Aaves egna smarta kontrakt komprometterades inte, men under asiatiska handelstimmar föll plattformens token med 20 procent. Kommunikationen vacklande: Aave uppgav först att dess interna säkerhetsmodul kunde täcka eventuella förluster, för att sedan revidera uttalandet till att man skulle "utforska vägar för att täcka underskottet" om bad debt ackumulerades.
Attacken misstänks vara genomförd av Lazarus Group, samma nordkoreanska aktör som kopplas till Drift Protocol-hacket den 1 april, där 285 miljoner dollar försvann på 12 minuter. April 2026 har hittills kostat kryptoindustrin över 605 miljoner dollar fördelat på minst 12 attacker.
Enligt Coindesk bedömer Moss att hacket sannolikt inte spiller över i traditionella finansmarknader direkt, men att förtroendetappet kan tynga adoptionen på kort sikt.
Det är andra gången på ett år som Kelp DAO drabbas av en säkerhetsincident, vilket förstärker bilden av en infrastruktur som ännu inte är redo att bära det förtroende storbankerna ämnar lägga på den.
Initiativ för TradFi-tokenisering sprider sig i takt med att institutionella investeringar accelererar. Utnyttjandet och dess kaskadliknande konsekvenser kan dock tillfälligt bromsa TradFi-implementeringen i takt med att säkerhetsriskerna omvärderas.
Andrew Moss, analytiker på Jefferies.
Jefferies pekar på regulatoriska framsteg och infrastrukturförbättringar som faktorer som håller det institutionella intresset intakt på längre sikt, men också på att stablecoins väntas spela en växande roll i betalningar innan tokenisering kan skalas upp på ett säkert sätt.
Daniel Åstrand