$292 miljoen verdwenen in 46 minuten: Inside de Kelp DAO DeFi-hack

TLDR

• Kelp DAO's LayerZero-aangedreven bridge werd zaterdag geëxploiteerd, waarbij 116.500 rsETH ter waarde van ~$292 miljoen werd gestolen
• De aanvaller misleidde LayerZero's berichtenlaag om fondsen vrij te geven naar een door de aanvaller gecontroleerd adres
• Ongeveer $250 miljoen aan gestolen fondsen werd omgezet naar ETH; een door Tornado Cash gefinancierd adres werd gebruikt
• Minstens negen protocollen bevroren rsETH-markten, waaronder Aave, SparkLend en Fluid
• Dit is nu de grootste DeFi-exploit van 2026, waarmee de Drift Protocol hack van 1 april wordt overtroffen

Een aanvaller onttrok 116.500 rsETH van Kelp DAO's LayerZero-aangedreven bridge op zaterdag om 17:35 UTC, en maakte ongeveer $292 miljoen aan crypto-assets buit.

Het gestolen bedrag vertegenwoordigt ongeveer 18% van de totale circulerende voorraad van 630.000 rsETH-tokens, volgens gegevens van CoinGecko.

Kelp DAO is een liquid restaking-protocol. Het neemt door gebruikers gestort ETH, stuurt het door EigenLayer om extra opbrengst te verdienen en geeft rsETH uit als een verhandelbaar ontvangstbewijs-token.

De aanvaller misleidde LayerZero's cross-chain berichtenlaag om te geloven dat een geldige instructie van een ander netwerk was aangekomen. Dit zorgde ervoor dat Kelp's bridge de fondsen vrijgaf naar een door de aanvaller gecontroleerde wallet.

Kelp's nood-multisig pauzeerde de kerncontracten van het protocol 46 minuten na de roof, om 18:21 UTC. Twee vervolg pogingen om nog eens 40.000 rsETH te stelen — ter waarde van ongeveer $100 miljoen — werden beide geblokkeerd.

De gestolen fondsen werden verplaatst via een door Tornado Cash gefinancierd adres. Ongeveer $250 miljoen van de gestolen rsETH was al omgezet naar ETH, volgens blockchain-beveiligingsbedrijf Cyvers.

Gevolgen verspreiden zich door DeFi

De bridge die werd geleegd bevatte de reserve die wrapped rsETH op meer dan 20 blockchains ondersteunde, waaronder Base, Arbitrum, Linea, Blast en Scroll.

Nu die reserve verdwenen is, worden houders van rsETH op layer 2-netwerken geconfronteerd met onzekerheid over of hun tokens volledig gedekt zijn.

Aave bevroor rsETH-markten op V3 en V4 binnen enkele uren na de exploit. Aave's token daalde ongeveer 10% toen markten het risico van potentiële slechte schulden inprijsden.

SparkLend en Fluid bevroren ook hun rsETH-markten. Lido Finance pauzeerde stortingen in zijn earnETH-product, dat rsETH-exposure heeft, terwijl het verduidelijkte dat zijn core staking-protocol niet betrokken was.

Ethena pauzeerde zijn LayerZero OFT-bridges van Ethereum mainnet als voorzorgsmaatregel voor ongeveer zes uur, en zei dat het geen rsETH-exposure had.

Kelp plaatste zijn eerste publieke reactie om 20:10 UTC — bijna drie uur na de aanval. Het protocol zei dat het samenwerkte met LayerZero, Unichain, zijn auditors en externe beveiligingsspecialisten.

Een moeilijke periode voor DeFi in 2026

Cyvers CEO Deddy Lavid zei dat het incident de risico's van composability in DeFi laat zien, waar protocollen diep verbonden zijn.

Het Drift Protocol, een op Solana gebaseerd platform, werd op 1 april voor ongeveer $285 miljoen geleegd in een aanval die verband hield met Noord-Korea-gelieerde actoren.

Kleinere protocollen waaronder CoW Swap, Zerion, Rhea Finance en Silo Finance werden ook de afgelopen weken geëxploiteerd.

Totale cryptoverliezen door hacks en scams bereikten ongeveer $482 miljoen in Q1 2026, volgens Cyvers.

De Kelp DAO exploit staat nu als de grootste DeFi-hack van 2026, waarmee Drift met enkele miljoenen dollars wordt overtroffen.

Kelp heeft op het moment van publicatie niet bekendgemaakt hoe de aanvaller de validatielogica van de bridge omzeilde.

Het bericht $292 miljoen verdwenen in 46 minuten: Inside the Kelp DAO DeFi Hack verscheen eerst op CoinCentral.