Un singolo exploit contro il bridge di Kelp DAO alimentato da LayerZero è diventato la maggiore perdita DeFi del 2026: l’attaccante ha drenato circa 116.500 rsETH, per un valore di circa 292 milioni di dollari, alle 17:35 UTC di sabato, per poi spingere i token rubati su Aave (AAVE), Compound ed Euler (EUL) ed estrarre centinaia di milioni aggiuntivi in WETH preso in prestito.
Tutti i principali mercati di lending su Ethereum (ETH) stanno ora attivando congelamenti di emergenza.
Come l’attaccante ha ingannato LayerZero
Il bridge di Kelp si basa sul livello di messaggistica cross-chain di LayerZero per mintare e rilasciare rsETH su oltre venti network.
Gli investigatori affermano che l’exploiter ha fornito al bridge un’istruzione falsificata che sembrava un messaggio valido proveniente da un’altra chain, il che ha fatto sì che rilasciasse 116.500 rsETH a un indirizzo controllato dall’attaccante.
L’analista on-chain ZachXBT è stato il primo a segnalare il deflusso e ha confermato che il bridge non ha mai ricevuto il trasferimento in ingresso corrispondente che avrebbe dovuto ancorare il mint.
Una spirale di debiti inesigibili su Aave V3
Nel giro di pochi minuti dal mint, l’attaccante ha spostato l’rsETH rubato su Aave V3, Compound V3 ed Euler come collaterale e ha preso in prestito oltre 236 milioni di dollari in WETH sui tre mercati.
Poiché l’rsETH depositato non era coperto da reali asset a riserva, i protocolli di lending si sono ritrovati con collaterale contro un asset che non rappresentava più vero Ether restaked.
Leggi anche: Why Does An Oil Lane 7,000 Miles Away Control The Bitcoin Price
La governance di Aave ha già messo in pausa i nuovi depositi di rsETH, e il token AAVE è sceso di circa il 10% mentre il mercato prezzava il potenziale debito inesigibile.
Venti chain con Ether wrappato bloccato
rsETH circola su più di venti Layer 2 e sidechain, e l’exploit concentrato su una sola chain ha sollevato dubbi sul fatto che tali forniture wrappate siano ancora pienamente coperte.
Fluid e SparkLend si sono unite ad Aave nel congelare i mercati rsETH nel giro di poche ore. Circa il 18% della fornitura circolante di 630.000 rsETH è stato prelevato in un’unica transazione, secondo i dati citati da CoinDesk.
Cosa osservare adesso
Il team di Kelp DAO ha aperto una finestra di 24 ore per una negoziazione in modalità whitehat e sta collaborando con LayerZero per l’analisi post-mortem.
La domanda immediata è se i detentori di rsETH su network non-Ethereum potranno essere rimborsati integralmente e se i depositanti di Aave dovranno assorbire una parte del debito inesigibile.
L’exploit riapre anche un dibattito più ampio all’interno della DeFi: se l’Ether restaked, in qualsiasi variante, debba davvero essere accettato come collaterale di prima categoria.
Read Next: What Happens When the Most Powerful AI Gets Its Own Crypto Wallet