Årets største DeFi-hack rammer Ethereum-protokoll

Natt til 18. april 2026 ble Kelp DAO, en Ethereum-basert protokoll for såkalt «liquid restaking», utsatt for det som ifølge Decrypt nå beskrives som årets største DeFi-hack. Totalt anslås mellom 280 og 294 millioner dollar i protokollens native token rsETH å ha blitt dratt ut av systemet – et tall som ulike analysemiljøer setter til rundt 293,7 millioner dollar.

Kelp DAO fungerer ved at brukere setter inn liquid staking-tokens som stETH eller cbETH og mottar rsETH tilbake, som representerer en brøkdel av de underliggende eiendelene. Det var denne representasjonstokenen som stod i sentrum for angrepet.

DeFi-katastrofe: $293 millioner stjålet fra Kelp DAO

Svakhet i LayerZero-broen ga angriperne åpning

Ifølge tekniske analyser fra sikkerhetsmiljøet lå ikke angrepsvektoren i Kelp DAOs kjernekontrakter, men i protokollens tverrkjedebro bygget på LayerZero. Konfigurasjonen benyttet det som beskrives som en 1-av-1 Decentralized Verifier Network (DVN)-oppsett – i praksis betyr det at én enkelt node, operert av LayerZero Labs, fungerte som eneste validator.

Dette skapte et klassisk «single point of failure»: én kompromittert node var nok til å forfalske transaksjoner. Ifølge researchmaterialet finansierte angriperne lommebøker via Tornado Cash, forgét en transaksjon og sendte en falsk tverrkjedemelding som utløste overføring av 116.500 rsETH. Analyseselskapet D2 Finance har i tillegg spekulert i om en lekkasje av privat nøkkel på kildekjeden kan ha vært medvirkende.

En enkelt kompromittert node var nok til å tømme nær 300 millioner dollar.
DeFi-katastrofe: $293 millioner stjålet fra Kelp DAO

Smitteeffekt: Aave og andre rystet

De stjålne rsETH-tokenene ble raskt deponert i utlånsprotokoller som Aave V3, Compound V3 og Euler, der angriperne lånte store mengder Wrapped Ether (WETH). Dette skapte det som beskrives som et klassisk «cross-protocol contagion event» – én protokolls feil spredte seg umiddelbart til flere andre.

Den påfølgende panikkbølgen blant vanlige DeFi-brukere resulterte i forsøk på å ta ut totalt 6,2 milliarder dollar fra Aave alene, ifølge Decrypt. Aave-grunnlegger Stani Kulechov presiserte at Aaves egne smartkontrakter ikke var direkte kompromittert, men at problemet skyldes rsETH-eksponeringen.

Aave, SparkLend og Fluid frøs alle sine rsETH-relaterte markeder for å begrense skadene. Kelp DAO har på sin side satt rsETH-kontraktene i pause på mainnet og flere Layer 2-nettverk, og samarbeider nå med LayerZero, Unichain, sine revisorer og sikkerhetsmiljøer for å kartlegge hendelsen.

$293,7M
Stjålet fra Kelp DAO
$6,2B
Uttaksforsøk på Aave

Audits ikke tilstrekkelig: Eksperter advarer

Kelp DAO har offentlig kommunisert at protokollen har gjennomgått «multiple audits» og har et aktivt bug bounty-program. Likevel klarte ikke disse sikkerhetstiltakene å avdekke den kritiske svakheten – nettopp fordi den lå i en tredjeparts komponent, ikke i protokollens egne kontrakter.

Sikkerhetsmiljøet er tydelige på at dette peker mot et strukturelt problem i DeFi-bransjen: markedsføringsbegreper som «desentraliserte verifikatornett» kan skjule farlig sentralisering dersom standardkonfigurasjoner rutes gjennom én enkelt operatørnode. Eksperter understreker at fremtidige sikkerhetsrevisjoner må inkludere ikke bare smartkontrakter, men også bro-design, tredjepartsintegrasjoner og den faktiske implementeringen av desentraliseringspåstander.

For brukere av liquid restaking-protokoller betyr dette at tradisjonelle sjekklister – revisjonsrapporter, bug bounty-programmer, TVL-størrelse – ikke lenger er tilstrekkelige. Tverrkjede-infrastruktur og reelle avhengigheter må under lupen.

Situasjonen er fortsatt under etterforskning

Per 19. april 2026 pågår etterforskningen. Verken Kelp DAO, LayerZero Labs eller berørte utlånsprotokoller har gitt endelig bekreftet teknisk årsaksforklaring. Det er foreløpig uklart om noen av de stjålne midlene kan spores eller tilbakeføres. 24Krypto følger saken.