TL;DR

  • Angripere stjal rundt 116 500 rsETH — verdt omtrent 292 millioner dollar — fra Kelp DAOs cross-chain bro
  • Tokens ble brukt som sikkerhet på Aave V3 for å låne WETH, noe som skapte store tap av usikret gjeld
  • Kelp DAO fryste kjernekontrakter, Aave stengte rsETH-markeder, og brukere ble oppfordret til å trekke WETH umiddelbart
  • Angrepet rammet infrastruktur bygget på LayerZero og spredte seg til 20 ulike blokkjeder

Årets største krypto-exploit er et faktum

Natt til lørdag 18. april 2026 ble Kelp DAO rammet av det som nå beskrives som det største enkeltangrepet i kryptobransjen hittil i år. Ifølge CoinDesk ble drøyt 116 500 rsETH — tilsvarende rundt 292 millioner dollar — drenert fra protokollens LayerZero-drevne cross-chain bro. Det utgjør om lag 18 prosent av det totale sirkulerende tilbudet av rsETH.

Angriperen finansierte startlommebøkene via Tornado Cash og utnyttet en svakhet i LayerZeros meldingslag for å lure systemet til å frigi midlene uten reell dekning.

292 millioner dollar forsvant ut av Kelp DAOs bro på timer — spredt over 20 blokkjeder

Slik fungerte angrepet

rsETH er et såkalt Liquid Restaked Token (LRT): det representerer ETH som er restaket gjennom EigenLayer på tvers av flere aktive valideringstjenester (AVS-er), og er ment å holde en myk kobling til ETH-kursen. Ifølge tilgjengelig forskningsdata hadde Kelp DAOs totale markedsverdi for rsETH vært på rundt 1,58 milliarder dollar før angrepet.

Angriperen klarte å hente ut rsETH fra broen uten at de underliggende ETH-midlene faktisk fulgte med. De fristilte, udekte tokenene ble deretter deponert som sikkerhet på Aave V3 — en av DeFis største utlånsplattformer — for å låne store mengder Wrapped Ether (WETH).

Resultatet var dramatisk: siden sikkerheten ikke lenger var reell, satt Aave igjen med lån som ikke kan likvideres på vanlig vis, og reservene for WETH er belastet med vesentlig usikret gjeld.

$292M
Stjålet verdi
18%
Andel av rsETH-tilbud

Krisehåndtering på tvers av DeFi

Kelp DAO reagerte raskt og pauserte kjernekontrakter etter at angrepet ble oppdaget. Ifølge CoinDesk forhindret dette ytterligere angrepsrunder. Protokollteamet innledet umiddelbart samarbeid med LayerZero og Unichain for å etterforske hendelsen.

Aave frøs rsETH-markedene sine, og det samme gjorde SparkLend, Fluid og Upshift. Solidity-utvikler og revisor 0xQuit gikk ut med en klar advarsel:

«Hvis du har WETH på Aave V3 Core, trekk det ut nå.» — 0xQuit, Solidity-revisor

Advarselen ble støttet av Aaves grunnlegger Marc Zeller, som gjentok oppfordringen om umiddelbar uttak. Angripet rammet ifølge CoinDesk infrastruktur på tvers av 20 separate blokkjeder, noe som understreker kompleksiteten i cross-chain-sikkerhetsutfordringer.

LayerZero under press — igjen

Dette er ikke første gang LayerZero-infrastruktur er knyttet til alvorlige sikkerhetshendelser. I september 2025 ble Griffin AIs $GAIN-token utnyttet via en feil i LayerZeros cross-chain-bro, der angripere mintet fem milliarder falske tokens og tjente rundt tre millioner dollar. Sikkerhetsfirmaet CertiK pekte da på en kritisk svakhet i LayerZeros peer-initialisering som rotårsak.

LayerZero opererer med det protokollen selv omtaler som «konfigurerbar tillitsløshet», der applikasjoner kan definere sin egen sikkerhetsmodell via desentraliserte verifiseringsnettverk (DVN-er). Denne modellen gir fleksibilitet, men innebærer også at ansvaret ved et angrep i stor grad hviler på applikasjonen selv — ikke LayerZero Labs direkte.

DeFi-komposabilitet som dobbeltsidig sverd

Angrepet illustrerer en av de mest diskuterte risikoene i desentralisert finans: komposabilitet. At protokoller er bygget oppå hverandre gir effektivitet og innovasjonskraft, men betyr også at en svikt i ett ledd kan bre seg raskt og ukontrollert videre til tilknyttede systemer — uten naturlige brems eller nødutganger.

Forskningsdata knyttet til denne hendelsen peker på at LRT-er som rsETH er eksponert mot flere lag med risiko samtidig: smarte kontrakt-svakheter, likviditetsstress, slashing-risiko fra EigenLayer-operatører og styringssårbarhet. Kombinasjonen av disse faktorene, satt under press av et enkelt exploit, kan utløse kjedereaksjoner av den typen vi nå har sett.

Ettersom etterforskningen pågår i samarbeid mellom Kelp DAO, LayerZero og Unichain, er det per publiseringstidspunkt uklart om noen av de stjålne midlene kan spores eller tilbakeføres.