Sabato un hacker ha finanziato il suo portafoglio tramite Tornado Cash , ha atteso 10 ore e poi ha eseguito una transazione che ha sottratto 292 milioni di dollari a KelpDAO.
Prima che qualcuno se ne accorgesse, i soldi erano spariti. E quando KelpDAO si è fermato, altri due tentativi erano falliti nel giro di pochi minuti.
L'hacker di KelpDAO voleva sottrarre 391 milioni di dollari
Il portafoglio utilizzato per l'attacco è stato finanziato tramite il pool da 1 ETH di Tornado Cash. Si tratta di una procedura standard di offuscamento che ha permesso di iniettare denaro pulito nell'indirizzo.
Il portafoglio chiamato lzReceive sultracEndpointV2 di LayerZero e il bridge OFT di KelpDAO hanno rilasciato 116.500 rsETH a un indirizzo separato dell'attaccante. Il prelievo è stato completato in un'unica transazione.
Ciò che seguì dimostrò quanto fossero ristretti i margini. L'attaccante tornò due volte. Altri due pacchetti LayerZero colpirono il bridge, ciascuno mirato a 40.000 rsETH, per un valore complessivo di circa 100 milioni di dollari. Entrambi furono annullati.
Cinque minuti prima, il multisig di emergenza di Kelp aveva eseguito pauseAll. La chiamata ha bloccato il pool di deposito LRT, il contratto ditrac, l'oracolo LRT e anche il token rsETH. L'intervallo tra il drenaggio riuscito e la pausa è stato di 46 minuti. E l'intervallo tra la pausa e il successivo tentativo di attacco è stato di cinque minuti.
Se il secondo e il terzo tentativo dell'attaccante fossero andati a buon fine, la perdita totale di KelpDAO si sarebbe aggirata intorno ai 391 milioni di dollari.
L'attaccante innesca il problema dei crediti inesigibili Aave
I 116.500 token rsETH avevano un valore di circa 292 milioni di dollari ai prezzi attuali. Tale importo rappresenta circa il 18% della fornitura circolante di rsETH, pari a circa 630.000 token.
rsETH è un token di restaking liquido costruito su EigenLayer e distribuito su oltre 20 reti, tra cui Base, Arbitrum, Linea, Blast, Mantle e Scroll.
L'attaccante non si è limitato a detenere i token rsETH rubati. Secondo i dati on-chain, i token sono stati depositati su Aave V3 come garanzia per ottenere ingenti prestiti in Ether e Wrapped Ether. I fondi sono stati poi reindirizzati attraverso Tornado Cash per occultare le tracce.
Quel passaggio ha trasformato una vulnerabilità di tipo bridge in un potenziale problema di crediti inesigibili per Aave, una delle più grandi piattaforme di prestito DeFi. Di conseguenza, Aave V3 potrebbe trovarsi ad affrontare un'esposizione a crediti inesigibili fino a 177 milioni di dollari.
L'investigatore blockchain ZachXBT ha segnalato l'incidente dent Telegram entro un'ora. "Sembra che a KelpDAO siano stati rubati oltre 280 milioni di dollari un'ora fa su Ethereum e Arbitrum", ha scritto, confermando che i portafogli degli hacker erano stati finanziati tramite Tornado Cash .
dichiarazione pubblica di Kelp è arrivata su X, più di due ore e mezza dopo il prelievo. "Oggi abbiamo dent un'attività cross-chain sospetta che coinvolgeva rsETH", ha scritto il protocollo. "Abbiamo sospeso i trac sulla mainnet e su diverse blockchain di livello 2 mentre indaghiamo. Stiamo collaborando con LayerZero, Unichain, i nostri revisori e i migliori esperti di sicurezza per l'analisi delle cause principali."
Aave ha bloccato tutti i mercati di rsETH sia sulla versione 3 che sulla versione 4 Aave . Il protocollo ha confermato su X che la vulnerabilità risiedeva in rsETH e non neitracdi Aave. "Stiamo esaminando le informazioni sui prestiti di rsETH su Aave avvenuti dopo l'exploit e condivideremo maggiori dettagli il prima possibile", ha scritto Aave . Il team Aave sta anche valutando diverse soluzioni per coprire le perdite.
Aave ha perso il 10,65% nella giornata, chiudendo a 103,86 dollari. Ethereum è sceso di circa il 3% e attualmente viene scambiato a 2.358,24 dollari.
L'attacco a KeplerDAO è avvenuto meno di due settimane dopo il furto di criptovalute da 286 milioni di dollari ai danni di Drift Protocol, il più grande furto di criptovalute del 2026 finora. Secondo un Cryptopolitan , l' a Drift Protocol è collegato allo stesso gruppo che ha rubato 1,4 miliardi di dollari a Bybit.
KelpDAO occupa ora il secondo posto nella classifica dei più grandi attacchi hacker nel settore delle criptovalute del 2026.
