Un attaccante ha sottratto 116.500 rsETH dal bridge cross-chain di Kelp DAO, sfruttando l’infrastruttura LayerZero. Il danno ammonta a circa 292 milioni di dollari, il maggiore hack DeFi del 2026.
Il più grande exploit DeFi del 2026 colpisce Kelp DAO
Il 18 aprile 2026, alle 17:35 UTC, un attaccante ha drenato 116.500 rsETH dal bridge cross-chain di Kelp DAO alimentato da LayerZero, sottraendo circa 292 milioni di dollari e pari a circa il 18% dell’offerta circolante del token. L’operazione ha innescato una sospensione d’emergenza dei contratti principali del protocollo e si è propagata in poche ore all’intero ecosistema della finanza decentralizzata.
L’exploit è stato segnalato per la prima volta dall’investigatore blockchain ZachXBT intorno alle 14:52 ora della costa est statunitense. L’attaccante ha manipolato il layer di messaggistica cross-chain di LayerZero — il sistema di verifica che autentica le istruzioni legittime tra reti diverse — inducendolo a credere che fosse arrivata una richiesta di trasferimento valida da un’altra chain. Il messaggio falsificato ha innescato il trasferimento non autorizzato di 116.500 rsETH verso un indirizzo controllato dall’attaccante.
I portafogli dell’attaccante erano stati finanziati in precedenza tramite Tornado Cash, un mixer per criptovalute, prima che iniziasse il drenaggio: una tattica standard per offuscare l’origine dei fondi che conferma come l’operazione fosse deliberata e pianificata. Bitcoin News
Come funziona rsETH e perché il danno si è esteso a 20 chain
Per comprendere la portata dell’attacco occorre chiarire la struttura del protocollo. Kelp DAO è un protocollo di liquid restaking: prende gli ETH depositati dagli utenti, li instrada attraverso EigenLayer per ottenere rendimenti aggiuntivi rispetto alle normali ricompense di staking su Ethereum, e rilascia rsETH come ricevuta negoziabile.
Il bridge compromesso deteneva le riserve a garanzia delle versioni wrapped del token distribuite su più di 20 blockchain. Con quella riserva prosciugata, i detentori di rsETH su reti diverse da Ethereum si trovano ora a chiedersi se i loro token abbiano ancora qualcosa a sostenerli. Questo crea un circolo vizioso: le richieste di riscatto sulle layer 2 fanno pressione sulle riserve Ethereum ancora intatte, costringendo potenzialmente Kelp a smantellare posizioni di restaking per onorare i prelievi.
La chiamata malevola è avvenuta tramite la funzione lzReceive sul contratto EndpointV2 di LayerZero. Kelp DAO ha confermato su X di aver attivato le misure di emergenza, bloccando immediatamente depositi e prelievi di rsETH, e ha dichiarato di essere in coordinamento con LayerZero e Unichain.
Contagio DeFi: Aave, SparkLend, Lido e gli effetti a catena
L’impatto sull’ecosistema DeFi è stato immediato. Aave ha congelato i mercati rsETH sulle versioni V3 e V4 nel giro di poche ore. Il fondatore Stani Kulechov ha confermato che l’exploit è esterno e che i contratti di Aave non sono stati compromessi. Anche SparkLend e Fluid hanno congelato i propri mercati rsETH. Il token AAVE ha perso circa il 10% mentre il mercato incorporava il rischio di debiti inesigibili.
L’attaccante ha depositato gli rsETH sottratti come collaterale su Aave V3 e ha preso in prestito una quantità sostanziale di Wrapped Ether contro di essi. Poiché gli rsETH drenati non erano più garantiti da asset reali, il collaterale depositato su Aave era di fatto privo di valore.
Lido Finance ha sospeso ulteriori depositi nel suo prodotto earnETH, che ha esposizione verso rsETH, precisando tuttavia che stETH e wstETH non sono interessati e che il protocollo Lido non è coinvolto nell’incidente. Ethena ha temporaneamente sospeso i propri bridge OFT su LayerZero da Ethereum mainnet a titolo precauzionale, dichiarando di non avere esposizione verso rsETH e di essere collateralizzata oltre il 101%.
La dinamica illustra uno dei rischi strutturali della composabilità DeFi: i token emessi da un protocollo vengono istantaneamente riutilizzati come collaterale su altri. Quando perdono la copertura, gli effetti a valle sono immediati e non esiste un meccanismo automatico di interruzione.
Impatto di mercato e precedenti del 2026
L’exploit di Kelp, da 292 milioni di dollari, è ora il maggiore hack DeFi del 2026, superando di qualche milione di dollari il precedente record detenuto da Drift.
Un exchange di futures perpetui basato su Solana aveva perso 286 milioni di dollari in 12 minuti il 1° aprile 2026, dopo che gli attaccanti avevano trascorso tre settimane a preparare l’operazione. La sequenza ravvicinata di attacchi di grande portata nel corso dell’anno mette in evidenza una tendenza preoccupante nel settore.
I liquid restaking token come rsETH erano stati inseriti nella lista bianca come collaterali sui principali protocolli di lending perché rappresentavano una quota crescente del valore bloccato su Ethereum e offrivano opportunità di rendimento interessanti. Quell’assunzione presupponeva che i token sottostanti restassero pienamente garantiti e adeguatamente protetti. L’exploit di Kelp DAO ha infranto questa ipotesi in modo clamoroso, e ogni grande protocollo di lending DeFi dovrà ora rivalutare i propri parametri di rischio per gli asset in restaking.
Kelp DAO ha bloccato depositi e prelievi e coordina con LayerZero le indagini sull’exploit. I mercati rsETH rimangono congelati su Aave, SparkLend e Fluid. La priorità immediata del protocollo è verificare se le riserve residue su Ethereum siano sufficienti a coprire le richieste di riscatto pendenti sulle layer 2. Gli utenti con posizioni in rsETH su chain diverse da Ethereum mainnet devono monitorare le comunicazioni ufficiali di Kelp DAO prima di compiere qualsiasi operazione.
Leggi anche il recente articolo sull’aggiornamento di sicurezza Zcash
