Nessun comunicato. Nessun avviso preventivo. Solo un movimento anomalo di 116.500 rsETH alle 03:41 UTC del 18 aprile 2026. Il più grande attacco alla DeFi del 2026 non è iniziato con un'esplosione: è iniziato con un'operazione che sembrava normale.
Security Incident Report
Protocollo
Kelp DAO (rsETH Bridge)
Importo sottratto
$292 milioni (116.500 rsETH)
Chain
Ethereum mainnet + 20+ L2 (Base, Arbitrum, Linea, Blast, Mantle, Scroll)
Data
18 aprile 2026 · ore 03:41 UTC
Vettore
Vulnerabilita nel bridge cross-chain costruito su LayerZero, che gestiva la riserva di rsETH su 20+ blockchain. L'attaccante ha sfruttato la falla per trasferire 116.500 rsETH dalla riserva del bridge. Ha poi depositato 89.567 rsETH su Aave come collaterale e preso in prestito $190,86 milioni di wrapped Ether, mentre l'oracolo di Aave valutava ancora rsETH al prezzo pre-exploit.
Risposta del protocollo
Kelp DAO ha sospeso i contratti rsETH su mainnet e L2 dopo aver identificato l'attivita sospetta. Aave ha congelato i mercati rsETH per impedire nuovi depositi e prestiti contro quel collaterale. Comunicato ufficiale Kelp DAO su X: ore 06:00 UTC del 18 aprile 2026.
Fonte: PeckShield · CertiK · CoinDesk · Cybernews · Bank Policy Institute · 18–20 aprile 2026
Fonte: PeckShield · CertiK · CoinDesk · Cybernews · Bank Policy Institute · 18–20 aprile 2026
Come funziona la manipolazione dell'oracolo Aave che ha moltiplicato il danno?
Il danno diretto del bridge LayerZero era di $292 milioni. Il danno amplificato da Aave lo ha portato a qualcosa di sistematicamente diverso.
L'attaccante ha depositato 89.567 rsETH su Aave come collaterale. Il problema: l'oracolo di prezzi di Aave non verifica l'origine degli asset depositati. Controlla solo il valore di mercato al momento del deposito. Alle 03:41 UTC, rsETH valeva ancora il prezzo pre-exploit. L'attaccante ha ottenuto $190,86 milioni di wrapped Ether in prestito contro collaterale che il mercato stava per svalutare drasticamente. Quando Aave ha congelato i mercati rsETH, $190 milioni di ether reale erano già usciti dal protocollo.
Nelle 48 ore successive, Aave ha perso $8,45 miliardi in depositi totali, scendendo da $26,35 miliardi a $17,9 miliardi. Più di $13 miliardi sono usciti dall'intero ecosistema DeFi in reazione. Stani Kulechov, fondatore di Aave, ha precisato su X che i contratti Aave non erano stati violati: il problema era nell'asset accettato come collaterale. Distinzione tecnica importante. Non ha fermato le uscite.
Non è il primo protocollo di liquid staking a cedere su un vettore simile. Drift Protocol aveva subito un attacco da $286 milioni in marzo 2026 su Solana, con coinvolgimento sospetto di gruppi collegati alla Corea del Nord secondo l'analisi di Elliptic. Due eventi separati, due vettori diversi, una settimana di distanza. Al 20 aprile 2026, i danni DeFi del 2026 superavano già $775 milioni.
Cosa cambia adesso per la DeFi istituzionale
Apollo Global Management e BlackRock, secondo CoinDesk, non hanno cambiato i propri piani di espansione nella finanza onchain dopo l'exploit. La posizione degli istituzionali è pragmatica: il problema non è la DeFi in sé, ma il livello attuale delle sue difese. «Ogni layer dello stack DeFi deve fare della sicurezza la priorità assoluta», ha dichiarato un'analista a CoinDesk il 2 maggio. «Ancora di più nell'era dell'intelligenza artificiale, che rende certi vettori di attacco molto piu rapidi da costruire.»
PeckShield ha tracciato i movimenti dei fondi rubati verso indirizzi collegati a Tornado Cash nelle ore successive all'attacco: $180 milioni risultavano già in fase di mixing entro le 08:00 UTC del 18 aprile. Il recupero, in questo caso, è vicino allo zero.
Da monitorare nelle prossime settimane: le discussioni sul requisito di validazione multi-fonte per gli oracoli di prezzo nei principali protocolli, la proposta di Kelp DAO sul fondo di compensazione per gli utenti colpiti, e le dichiarazioni della BCE, che il 2 maggio ha citato esplicitamente l'exploit come ulteriore argomento per la supervisione prudenziale degli asset DeFi nell'ambito della revisione MiCA 2026. Christine Lagarde ha parlato di stabilita sistemica. Stavolta con numeri reali alle spalle.
