Un atacator a sustras 116.500 rsETH (ether restabilizat) de la puntea Kelp DAO alimentată de LayerZero sâmbătă, la ora 17:35 UTC, în valoare de aproximativ 292 de milioane de dolari la prețurile actuale, reprezentând aproximativ 18% din oferta circulantă de 630.000 de tokenuri rsETH urmărită de CoinGecko.
LayerZero este un strat de mesagerie cross-chain, sau infrastructura care permite diferitelor blockchain-uri să trimită instrucțiuni verificate unul către celălalt. Kelp DAO este un protocol de restabilizare lichidă, care preia ETH-ul depus de utilizatori, îl direcționează prin EigenLayer pentru a obține randament suplimentar pe lângă recompensele standard de staking Ethereum și emite rsETH ca chitanță tranzacționabilă.
Puntea care a fost golită de fonduri deținea rezerva rsETH care susținea versiunile wrapped ale tokenului implementate pe mai mult de 20 de alte blockchain-uri. Atacatorul a păcălit stratul de mesagerie cross-chain al LayerZero să creadă că a sosit o instrucțiune validă dintr-o altă rețea, ceea ce a declanșat eliberarea a 116.500 rsETH către o adresă controlată de atacator.
Multisig-ul de pauză de urgență al Kelp a înghețat contractele de bază ale protocolului la 46 de minute după golirea reușită, la 18:21 UTC. Două încercări ulterioare la 18:26 UTC și 18:28 UTC au fost ambele respinse, fiecare transportând același pachet LayerZero care încerca o altă golire de 40.000 rsETH în valoare de aproximativ 100 de milioane de dolari.
rsETH este implementat pe mai mult de 20 de rețele, inclusiv Base, Arbitrum, Linea, Blast, Mantle și Scroll, standardul OFT al LayerZero gestionând mișcarea cross-chain. rsETH deținut în punte era rezerva care susținea versiunile wrapped pe fiecare blockchain de nivel 2, sau rețele care rulează deasupra Ethereum.
Cu acea rezervă golită, deținătorii pe implementări non-Ethereum se confruntă acum cu întrebarea dacă tokenurile lor mai au ceva la bază, ceea ce creează o buclă de feedback în care răscumpărările panicate pe L2 pun presiune asupra ofertei Ethereum neafectate, potențial forțând Kelp să anuleze pozițiile de restabilizare pentru a onora retragerile.
Lista de contagiune este lungă și încă în creștere. Aave a înghețat piețele rsETH pe V3 și V4 în câteva ore, fondatorul Stani Kulechov afirmând că exploit-ul a fost extern și contractele Aave nu au fost compromise. SparkLend și Fluid au înghețat piețele lor rsETH. AAVE a scăzut cu aproximativ 10%, deoarece piața a evaluat potențialele datorii neperformante.
Lido Finance a întrerupt depunerile suplimentare în produsul său earnETH, care are expunere rsETH, clarificând în același timp că stETH și wstETH nu sunt afectate și că protocolul de staking core Lido nu are nicio implicare în incident. Ethena a întrerupt temporar punțile sale LayerZero OFT de pe Ethereum mainnet ca măsură de precauție, spunând că nu are expunere rsETH și rămâne supracolaterizat cu peste 101%. Emitentul de stablecoin a declarat că pauza va dura aproximativ șase ore până când cauza principală va fi identificată.
Kelp, un produs sub umbrela KernelDAO, a recunoscut incidentul în prima sa postare publică pe X la 20:10 UTC, la aproape trei ore după golire. Protocolul a declarat că investighează împreună cu LayerZero, Unichain, auditorii săi și specialiști externi în securitate. Nu a dezvăluit modul în care exploit-ul a ocolit logica de validare a punții.
Dacă rsETH își menține valoarea pe parcursul weekend-ului depinde de cât de mult din float-ul cross-chain încearcă să răscumpere în ETH pe Ethereum și dacă Kelp poate recupera vreo parte din fondurile furate înainte ca traseul Tornado Cash să se piardă.
Hack-ul aterizează într-o perioadă neobișnuit de ostilă pentru DeFi. Protocolul perpetuu bazat pe Solana, Drift, a fost golit de aproximativ 285 de milioane de dolari pe 1 aprilie într-un atac legat ulterior de actori afiliați Coreei de Nord, și cel puțin o duzină de protocoale mai mici au fost exploatate în săptămânile de atunci, inclusiv CoW Swap, Zerion, Rhea Finance și Silo Finance. Pierderea de 292 de milioane de dolari a Kelp este acum cel mai mare exploit DeFi din 2026, depășind Drift cu câteva milioane de dolari.