TL;DR

  • KelpDAO ble 18. april 2026 utsatt for et exploit som stjal rundt 293,7 millioner dollar i den likvide restaking-tokenen rsETH
  • Angriperne utnyttet en svakhet i LayerZero-broens konfigurasjonsoppsett og presterte å mynte 116 500 ubakkede rsETH-tokens
  • Minst ni DeFi-protokoller ble berørt, blant dem Aave V3/V4, SparkLend, Fluid og Compound V3
  • DeFis samlede TVL falt med over 13 milliarder dollar på to dager — det største fallet i sektoren hittil i 2026

Det startet med én bro og én feil konfigurasjon

Den 18. april 2026 ble den likvide restaking-protokollen KelpDAO rammet av det som nå beskrives som 2026s største kryptohack målt i dollarverdi. Ifølge research knyttet til saken lyktes angriperne med å stjele tilsvarende 293,7 millioner dollar i protokollens egen token, rsETH.

Sårbarhetens kjernen lå i hvordan KelpDAO hadde konfigurert sin LayerZero Omnichain Fungible Token-adapter. Protokollen brukte en såkalt 1-av-1 Decentralized Verifier Network-arkitektur — altså én enkelt verifiserer uten redundans. LayerZero selv anbefaler bruk av flere DVN-er for å forhindre akkurat denne typen angrep.

En enkelt forfalsket signatur var nok til å instruere escrow-kontrakten om å frigi ubakkede rsETH-tokens på Ethereum mainnet.

Angriperne kompromitterte DVN-noden ved å forgifte underliggende RPC-infrastruktur, kombinert med DDoS-angrep som omdirigerte systemet mot ondsinnede noder. Slik klarte de å forfalske kryssnettverkstransaksjoner og mynte 116 500 ubakkede rsETH-tokens. Angrepslommebøkene ble finansiert via kryptomikseren Tornado Cash for å skjule sporene.

LayerZero Labs bekreftet overfor CoinDesk at angrepet knyttes til Lazarus Group, også kjent som TraderTraitor, og presiserte at det ikke var protokollen selv som hadde en iboende svakhet — men KelpDAOs spesifikke applikasjonskonfigurasjon.

DeFi-kollapsen: 13 milliarder dollar borte på to dager etter KelpDAO-hack

Smitteeffekten: Fra ett hack til ti protokoller

Det som startet som et isolert exploit, eskalerte raskt til en sektoromfattende hendelse. Angriperne benyttet de stjålne rsETH-tokenene som sikkerhet i utlånsprotokollen Aave V3, og lånte ut over 236 millioner dollar i Wrapped Ethereum (WETH). Dette skapte ubakket gjeld i systemet.

Aaves WETH-poolutilisering nådde 100 prosent i kjølvannet av hendelsen. TVL-fallet for Aave alene ble ifølge tilgjengelig research beregnet til 8,4 milliarder dollar.

DeFi-kollapsen: 13 milliarder dollar borte på to dager etter KelpDAO-hack

13 milliarder dollar forsvant på 48 timer

$293,7M
Stjålet i rsETH
$13B+
TVL-fall totalt i DeFi
$8,4B
Aave-TVL-fall alene

Den samlede TVL-nedgangen i DeFi på tvers av berørte protokoller oversteg 13 milliarder dollar i løpet av to dager, ifølge CoinDesk. Interessant nok holdt token-prisene seg relativt stabile — det var likviditeten og den innskutte verdien som fordampet, ikke nødvendigvis markedsverdien på de underliggende tokenene.

Dette illustrerer en av de mer undervurderte risikoene i DeFi: systemisk smitte gjennom delte likviditetslagre og kryssprotokoll-integrasjoner. Når rsETH fungerte som sikkerhet i et dusin ulike protokoller, ble et enkelt kompromittert aktivum til en dominoeffekt.

LayerZero varsler tiltak

LayerZero Labs har ifølge CoinDesk varslet at de vil fremskynde migreringen av alle enkelt-DVN-konfigurasjoner til en fler-DVN-arkitektur. I mellomtiden er signatur- og verifiseringstjenester for applikasjoner med 1-av-1-konfigurasjon suspendert.

Over 15 DeFi-protokoller suspenderte LayerZero OFT-broen som en forebyggende respons — selv uten direkte rsETH-eksponering.

Aaves grunnlegger Stani Kulechov understreket at kjerneprotokollene i Aave ikke ble eksploitert direkte, men at problemet var knyttet til rsETH som aktivum. Det er en distinksjon som likevel gir liten trøst for brukere som sitter med midler bundet i frøste markeder.

Hendelsen setter på nytt søkelys på risikoen ved enkelt-punkt-svikt i bro-infrastruktur — og reiser spørsmål om DeFi-protokollers due diligence-prosesser for hvilke aktiva de aksepterer som sikkerhet.