Secondo Wu Blockchain, Kelp DAO ha subito un massiccio attacco cross-chain che ha causato la perdita di circa 116.500 rsETH, per un valore di quasi 292 milioni di dollari. L'incidente solleva nuove preoccupazioni sulla sicurezza del protocollo, a meno di un anno da una precedente interruzione legata a un bug in uno smart contract.
La risposta di Kelp DAO impedisce ulteriori tentativi di sfruttamento.
Secondo i dati della blockchain , l'attacco alla DAO di Kelp ha sfruttato una vulnerabilità nella comunicazione cross-chain, prendendo di mira in particolare il meccanismo di bridging utilizzato per trasferire asset tra le reti. L'attacco è stato eseguito tramite una chiamata alla funzione "Iz Receive" sull'EndpointV2 di LayerZero, che ha innescato il rilascio di fondi verso un portafoglio controllato dall'attaccante.
ZachXBT, esperto di blockchain, è stato tra i primi a scoprire la violazione, stimando perdite superiori a 280 milioni di dollari tra Ethereum e Arbitrum. L'investigatore ha anche notato che gli indirizzi utilizzati per l'attacco erano stati inizialmente finanziati tramite Tornado Cash, il che indica un tentativo deliberato di nascondere le fonti di finanziamento di questo attacco altamente coordinato.
In mattinata abbiamo rilevato attività cross-chain sospette che coinvolgono rsETH. Abbiamo sospeso i contratti rsETH sulla mainnet e su diverse reti di livello 2 per poter indagare.
Stiamo collaborando con @LayerZero_Core , @unichain , i nostri revisori dei conti e i migliori esperti di sicurezza per l'analisi delle cause principali (RCA).
Vi terremo…
— Kelp (@KelpDAO) 18 aprile 2026
In risposta a questo attacco, Kelp DAO ha implementato un arresto immediato di tutti i contratti rsETH sulla sua rete principale e sulle reti L2 collegate. Il protocollo ha inoltre bloccato l'attività sui suoi contratti e sistemi principali che gestiscono depositi, prelievi e funzioni di oracolo. Secondo Kelp DAO, è in corso un'indagine con LayerZero e Unichain.
In particolare, l'attaccante ha tentato altre due transazioni per sottrarre ulteriori 40.000 rsETH, per un valore di quasi 100 milioni di dollari. Tuttavia, le rapide misure adottate da Kelp DAO hanno garantito il fallimento di entrambi i tentativi, impedendo che le perdite raggiungessero i 391 milioni di dollari.
Aave blocca i contratti rsETH
Tra le altre notizie, le ripercussioni si sono rapidamente diffuse oltre Kelp DAO, con i protocolli di prestito che hanno subito pressioni immediate. Aave, una delle più grandi piattaforme di prestito DeFi, ha reagito congelando i mercati di rsETH nelle sue implementazioni V3 e V4.
Tuttavia, Aave ha chiarito che i propri smart contract non sono stati sfruttati e che la misura è puramente precauzionale per limitare un'ulteriore esposizione debitoria a rsETH mentre valutano la situazione. Il management di Aave si impegna inoltre a valutare potenziali strategie di mitigazione qualora emergessero crediti inesigibili a seguito degli attacchi.
I mercati rsETH su Aave V3 e Aave V4 sono stati bloccati. I contratti di Aave non sono stati sfruttati e si tratta di una vulnerabilità legata a rsETH.
Il blocco fa seguito a una vulnerabilità del bridge rsETH di Kelp DAO. Il congelamento dei mercati rsETH impedisce nuovi depositi e prestiti garantiti da rsETH…
— Aave (@aave) 18 aprile 2026
rsETH è un token di ristaking liquido progettato per rappresentare ETH in staking, consentendo agli utenti di ottenere rendimenti aggiuntivi attraverso strategie di ristaking. Svolge un ruolo chiave nella DeFi cross-chain, permettendo al capitale di spostarsi senza soluzione di continuità tra diverse reti, tra cui Arbitrum, Base e Scroll. La portata dell'attacco è particolarmente dannosa, poiché i fondi rubati rappresentano circa il 18% dell'offerta totale circolante di rsETH, con un impatto significativo sia sulla liquidità che sulla fiducia degli utenti.
