Diverse società di sicurezza on-chain ed esperti del settore hanno segnalato nella tarda serata di sabato che il protocollo di rinegoziazione liquida KelpDAO è stato vittima di un grave attacco informatico, in cui i responsabili hanno sottratto quasi 300 milioni di dollari.
Il team responsabile del progetto ha confermato l'incidente poche ore dopo, aggiungendo di aver stretto una collaborazione con LayerZero, Unichain, i propri revisori dei conti e "esperti di sicurezza di alto livello" per risolvere il problema.
Il più grande attacco informatico del 2026
Cyvers è stata tra le risorse di sicurezza che hanno rilevato la violazione nella sua fase iniziale e in seguito ha fornito una spiegazione più dettagliata dell'accaduto. Secondo un post condiviso con CryptoPotato , l'attaccante ha sfruttato il contratto bridge del protocollo e ha sottratto circa 293,7 milioni di dollari dal suo token di rinegoziazione liquida, rsETH.
Il malintenzionato ha agito rapidamente dopo essersi impossessato dei fondi e li ha convertiti in ETH. Li ha poi distribuiti tra Ethereum e Arbitrum, e l'attività on-chain mostra che l'attaccante ha suddiviso i fondi in due tranche: 178 milioni di dollari sulla prima piattaforma e 72 milioni di dollari sulla blockchain di livello 2.
Gli rsETH rubati sono stati depositati in protocolli di prestito come Aave V3, Compound V3 ed Euler. Utilizzando i fondi ottenuti illecitamente, hanno contratto ingenti prestiti in WETH, accumulando un debito di oltre 236 milioni di dollari.
Cyvers ha spiegato che un aggressore può finire per creare rsETH senza garanzie e poi usarlo per prendere in prestito asset reali come ETH, ed è "esattamente così che questo tipo di exploit si diffonde così rapidamente". Gli esperti di sicurezza hanno aggiunto che questo si è immediatamente trasformato in un evento di contagio tra protocolli, non solo in un singolo exploit di protocollo. Tali asset, profondamente integrati tra protocolli di prestito, di custodia e di liquidità, sono particolarmente suscettibili a incidenti simili, e un singolo errore "non rimane circoscritto".
"Si diffonde istantaneamente, generando crediti inesigibili, provocando blocchi del mercato e colpendo contemporaneamente diverse piattaforme."
Aave V3 ha bloccato i mercati di rsETH, SparkLend ha bloccato l'esposizione, mentre Fluid, Compound, Euler e altri hanno adottato misure per contenere il rischio. Cyvers ha affermato che almeno 9 protocolli sono stati interessati.
KelpDAO Talks
L'account ufficiale del progetto X ha confermato la violazione dopo aver "identificato attività cross-chain sospette che coinvolgevano rsETH". Hanno affermato di aver sospeso tali contratti sulla mainnet e su diverse reti layer-2 mentre le indagini proseguivano.
Sebbene stiano collaborando con LayerZero, Unichain, revisori dei conti e altri esperti di sicurezza sulla questione, nelle ultime 10 ore, al momento della stesura di questo articolo, non sono stati forniti ulteriori aggiornamenti su cosa accadrà in futuro e cosa gli utenti possono aspettarsi.
In mattinata abbiamo rilevato attività cross-chain sospette che coinvolgono rsETH. Abbiamo sospeso i contratti rsETH sulla mainnet e su diverse reti di livello 2 per poter indagare.
Stiamo collaborando con @LayerZero_Core , @unichain , i nostri revisori dei conti e i migliori esperti di sicurezza per l'analisi delle cause principali (RCA).
Vi terremo…
— Kelp (@KelpDAO) 18 aprile 2026
L'attacco hacker a KelpDAO è diventato il più grande del settore nel 2026, superando il precedente "detentore del record", Drift Protocol, il cui exploit aveva fruttato 280 milioni di dollari.
L'articolo Il più grande attacco hacker del 2026: cosa sappiamo dell'exploit di KelpDAO da 294 milioni di dollari è apparso per la prima volta su CryptoPotato .