Il 18 aprile 2026 resterà segnato nella storia della DeFi come uno dei giorni peggiori. Un attaccante sconosciuto ha sfruttato una vulnerabilità nel bridge cross-chain di Kelp DAO basato su LayerZero, sottraendo circa 116.500 rsETH — pari a quasi 292 milioni di dollari al momento dell'attacco. È ufficialmente il più grande exploit DeFi del 2026, superando il caso Drift Protocol di appena pochi milioni.
La notizia è circolata rapidamente dopo l'alert dell'investigatore on-chain ZachXBT, che via Telegram ha identificato sei wallet collegati all'attaccante, tutti pre-finanziati attraverso Tornado Cash ore prima del drenaggio. Un'operazione deliberata, pianificata con precisione.
Come È Avvenuto l'Attacco
Tutto parte da un dettaglio tecnico, ma le sue conseguenze sono enormi. L'attaccante ha manipolato il livello di messaggistica cross-chain di LayerZero — il sistema che verifica le istruzioni tra blockchain — inducendo il bridge di Kelp DAO a credere che stesse arrivando un'istruzione legittima da un'altra rete.
Alle 17:35 UTC del 18 aprile, il wallet dell'attaccante ha chiamato la funzione lzReceive sul contratto EndpointV2 di LayerZero. Quella chiamata ha convinto il sistema di Kelp a rilasciare 116.500 rsETH direttamente a un indirizzo controllato dall'attaccante. L'intero importo rappresenta circa il 18% della supply circolante di rsETH (630.000 token totali, secondo CoinGecko).
Il team di sicurezza di Kelp ha reagito 46 minuti dopo, eseguendo un pauseAll d'emergenza tramite il multisig del protocollo. Due tentativi successivi dell'attaccante — alle 18:26 e 18:28 UTC — sono stati bloccati dal contratto in pausa, evitando un ulteriore drenaggio da circa 100 milioni di dollari.
Senza quella reazione tempestiva, le perdite totali avrebbero potuto sfiorare 391 milioni di dollari.
La Seconda Parte: Il Contagio su Aave
Il furto era solo la prima metà del problema. La seconda si è consumata su Aave V3, dove l'attaccante ha depositato gli rsETH sottratti — ormai privi di backing reale — come collaterale, prendendo in prestito grandi quantità di WETH. Il risultato: circa 177–236 milioni di dollari in bad debt lasciati sul protocollo di lending più grande del settore.
Questo illustra in modo brutale il rischio insito nella composabilità DeFi: i token emessi da un protocollo vengono accettati come collaterale su altri in modo istantaneo. Quando il token perde il suo ancoraggio reale, il contagio è immediato, senza voti di governance, senza comitati, senza margine di attesa.
Protocolli colpiti dalla reazione a catena:
- Aave V3 e V4 — mercati rsETH congelati; Stani Kulechov (@StaniKulechov) ha confermato che i contratti Aave non sono stati compromessi e che il problema riguarda esclusivamente rsETH
- SparkLend — mercati rsETH sospesi, zero esposizione diretta
- Fluid — stessi provvedimenti di Spark
- Lido Finance — sospesi i depositi su earnETH, che ha esposizione a rsETH; stETH e wstETH non coinvolti
- Ethena — pausa precauzionale sui bridge LayerZero da Ethereum mainnet, nonostante nessuna esposizione a rsETH e collateralizzazione superiore al 101%
- Upshift — sospesi depositi e prelievi sui vault High Growth ETH e Kelp Gain
L'Impatto sui Prezzi
La reazione del mercato è stata immediata e brusca:
- AAVE ha perso circa il 10% in poche ore
- ETH è sceso di circa il 3%
- stETH e wstETH hanno registrato cali vicini al 4%
- rsETH ha perso il peg, scendendo vicino a $2.500, con forte incertezza sulla stabilità del protocollo
Earlier today we identified suspicious cross-chain activity involving rsETH. We have paused rsETH contracts across mainnet and several L2s while we investigate.
— Kelp (@KelpDAO) April 18, 2026
We are working with @LayerZero_Core, @unichain, our auditors and top security experts on RCA.
We will keep you…
Chi È Kelp DAO e Perché È Così Rilevante
Kelp DAO è un protocollo di liquid restaking su Ethereum. Gli utenti depositano ETH o liquid staking token (come stETH o cbETH), e ricevono in cambio rsETH — un token che accumula reward da più livelli di staking tramite EigenLayer. Con un TVL di circa 1,07 miliardi di dollari, Kelp è il secondo attore più grande nell'ecosistema EigenLayer.
rsETH è distribuito su oltre 20 blockchain: Arbitrum, Base, Linea, Blast, Mantle, Scroll e altre, attraverso lo standard OFT di LayerZero. Il bridge drenato era la riserva centrale che garantiva i token wrapped su tutti questi L2. Con quella riserva azzerata, i detentori di rsETH su catene secondarie si trovano ora in una posizione di incertezza: il loro token potrebbe non avere più alcun sottostante.
Per approfondire l'integrazione tra Cardano e LayerZero, e capire come funziona la messaggistica cross-chain, leggi: Cardano Integra LayerZero e Punta alla DeFi
Un Aprile Nero per la DeFi
Questo exploit non arriva isolato. Il 1° aprile 2026, il protocollo Drift su Solana aveva subito un attacco da 285 milioni di dollari, successivamente collegato ad attori nordcoreani. Nelle settimane successive, almeno una dozzina di protocolli minori erano stati colpiti: CoW Swap, Zerion, Rhea Finance, Silo Finance.
La cronologia degli attacchi del solo 2026 inizia a somigliare a una lista di guerra:
- 1 aprile — Drift Protocol (Solana): ~285M$
- metà aprile — CoW Swap, Zerion, Rhea Finance, Silo Finance
- 18 aprile — Kelp DAO: 292M$ ← record 2026
Il totale degli exploit DeFi in sole tre settimane supera ormai il miliardo di dollari.
Scopri la sezione dedicata agli hack nel mondo crypto su SpazioCrypto per restare aggiornato su tutti i casi.
Cosa Succede Ora
Kelp DAO ha dichiarato di essere in contatto con LayerZero, Unichain, i propri auditor e i principali esperti di sicurezza per condurre un'analisi delle cause (RCA). Il co-fondatore Amitej Gajjala non ha ancora rilasciato dichiarazioni dettagliate oltre al comunicato ufficiale.
Le domande aperte sono molte:
- Sarà possibile recuperare parte dei fondi?
- Aave riuscirà ad assorbire il bad debt senza intaccare i depositori?
- rsETH su L2 riacquisterà il peg, o i detentori dovranno affrontare perdite permanenti?
Sul fronte più strutturale, questo caso riapre il dibattito sulla sicurezza dei liquid restaking token come collaterale nei lending protocol. Il fatto che rsETH fosse whitelistato su Aave, Compound ed Euler presupponeva che il token rimanesse pienamente garantito. Quell'assunzione è stata rotta in modo clamoroso, e ogni protocollo di lending dovrà ora riconsiderare i parametri di rischio per gli asset restaked.
Per capire come proteggersi in questo ecosistema, la nostra Guida Web3 è il punto di partenza migliore.
La DeFi è potente proprio perché è composabile. Ma la composabilità, quando un singolo tassello cede, trasforma ogni protocollo connesso in un domino. Il caso Kelp DAO lo ha dimostrato nel modo più costoso possibile.
