Sabato un hacker ha finanziato il suo portafoglio tramite Tornado Cash, ha atteso 10 ore e poi ha eseguito una transazione che ha sottratto 292 milioni di dollari a KelpDAO.
Prima che qualcuno se ne accorgesse, i soldi erano spariti. E quando KelpDAO si è fermato, altri due tentativi erano falliti nel giro di pochi minuti.
L'hacker di KelpDAO voleva sottrarre 391 milioni di dollari
Il portafoglio utilizzato per l'attacco è stato finanziato tramite il pool da 1 ETH di Tornado Cash. Si tratta di una procedura standard di offuscamento che ha permesso di iniettare nell'indirizzo denaro pulito, utilizzato per le transazioni in gas.
Il portafoglio ha effettuato una chiamata lzReceive sul contratto EndpointV2 di LayerZero e il bridge OFT di KelpDAO hanno rilasciato 116.500 rsETH a un indirizzo separato dell'attaccante. Il prelievo è stato completato in un'unica transazione.
Ciò che seguì dimostrò quanto fossero ristretti i margini. L'attaccante tornò due volte. Altri due pacchetti LayerZero colpirono il bridge, ciascuno mirato a 40.000 rsETH, per un valore complessivo di circa 100 milioni di dollari. Entrambi furono annullati.
Cinque minuti prima, il multisig di emergenza di Kelp aveva eseguito pauseAll. La chiamata aveva bloccato il pool di deposito LRT, il contratto di prelievo, l'oracolo LRT e anche il token rsETH. L'intervallo tra il drenaggio riuscito e la pausa era di 46 minuti. E l'intervallo tra la pausa e il successivo tentativo di attacco era di cinque minuti.
Se il secondo e il terzo tentativo dell'attaccante fossero andati a buon fine, la perdita totale di KelpDAO si sarebbe aggirata intorno ai 391 milioni di dollari.
L'attaccante innesca il problema dei crediti inesigibili di Aave
I 116.500 token rsETH avevano un valore di circa 292 milioni di dollari ai prezzi attuali. Tale importo rappresenta circa il 18% della fornitura circolante di rsETH, pari a circa 630.000 token.
rsETH è un token di restaking liquido costruito su EigenLayer e distribuito su oltre 20 reti, tra cui Base, Arbitrum, Linea, Blast, Mantle e Scroll.
L'attaccante non si è limitato a detenere i token rsETH rubati. Secondo i dati on-chain, i token sono stati depositati su Aave V3 come garanzia per ottenere ingenti prestiti in Ether e Wrapped Ether. I fondi sono stati poi reindirizzati attraverso Tornado Cash per occultare le tracce.
Quell'azione ha trasformato una vulnerabilità di tipo bridge in un potenziale problema di crediti inesigibili per Aave, una delle più grandi piattaforme di prestito DeFi. Di conseguenza, Aave V3 potrebbe trovarsi ad affrontare un'esposizione a crediti inesigibili fino a 177 milioni di dollari.
L'esperto di blockchain ZachXBT ha segnalato l'incidente su Telegram entro un'ora. "Sembra che a KelpDAO siano stati rubati oltre 280 milioni di dollari un'ora fa su Ethereum e Arbitrum", ha scritto, confermando che i portafogli degli hacker erano stati finanziati tramite Tornado Cash.
La prima dichiarazione pubblica di Kelp è arrivata su X, più di due ore e mezza dopo il drain. "Oggi abbiamo identificato un'attività cross-chain sospetta che coinvolge rsETH", ha scritto il protocollo. "Abbiamo sospeso i contratti rsETH sulla mainnet e su diverse blockchain di livello 2 mentre indaghiamo. Stiamo collaborando con LayerZero, Unichain, i nostri revisori e i migliori esperti di sicurezza per l'analisi delle cause principali."
Aave ha bloccato tutti i mercati di rsETH sia su Aave V3 che su V4. Il protocollo ha confermato su X che la vulnerabilità risiedeva in rsETH e non nei contratti di Aave. "Stiamo esaminando le informazioni sui prestiti di rsETH su Aave avvenuti dopo l'exploit e condivideremo maggiori dettagli il prima possibile", ha scritto Aave. Il team di Aave sta anche valutando diverse soluzioni per coprire le perdite.
Aave ha perso il 10,65% nella giornata, chiudendo a 103,86 dollari. Ethereum è sceso di circa il 3% e attualmente viene scambiato a 2.358,24 dollari.
L'attacco a KeplerDAO è avvenuto meno di due settimane dopo il furto di criptovalute da 286 milioni di dollari ai danni di Drift Protocol, il più grande furto di criptovalute del 2026 finora. Secondo un report di Cryptopolitan, l'attacco a Drift Protocol è collegato allo stesso gruppo che ha rubato 1,4 miliardi di dollari a Bybit.
KelpDAO occupa ora il secondo posto nella classifica dei più grandi attacchi hacker nel settore delle criptovalute del 2026.
Continui a lasciare che la banca si tenga la parte migliore? Guarda il nostro video gratuito su come diventare la tua banca .