Et av årets største DeFi-ran

Natt til 19. april norsk tid ble liquid restaking-protokollen Kelp DAO rammet av et av de alvorligste sikkerhetsbruddene i DeFi-sektoren så langt i 2026. Ifølge opplysninger gjengitt av DL News og bekreftet av blokkjedeanalyseselskapet Cyvers, ble omtrent 116 500 rsETH-tokens — tilsvarende rundt 292 millioner dollar — drenet fra protokollen.

Angriperne utnyttet en sårbarhet i Kelp DAOs LayerZero-drevne cross-chain bro. Ved å manipulere meldingslaget mellom blokkjeder klarte de å lure broens smarte kontrakter til å frigjøre rsETH til en adresse kontrollert av angriperne — uten at det lå reell sikkerhetsstillelse bak.

Kelp DAO hacket for 2,7 milliarder kroner i massivt DeFi-angrep

Slik fungerte angrepet

De nymintede, usikrede rsETH-tokenene ble deretter benyttet som sikkerhet på store utlånsplattformer, deriblant Aave V3 og V4, Compound V3 og Euler. Derfra lånte angriperne ut reell Wrapped ETH og ETH mot den fiktive sikkerheten — og etterlot seg det sikkerhetsselskapet Cyvers beskriver som betydelig "bad debt" i systemet.

«Dette er nettopp den typen hendelse som illustrerer risikoen ved komposabilitet i DeFi» — Deddy Lavid, CEO i Cyvers

De stjålne midlene, som ifølge Cyvers utgjorde omtrent 18 prosent av rsETHs totale sirkulerende tilbud, ble raskt konvertert til ETH og sendt gjennom mixing-tjenesten Tornado Cash for å vanskeliggjøre sporing. Cyvers opplyser at rundt 250 millioner dollar allerede var konvertert til ETH da rapporten ble offentliggjort.

Kelp DAO hacket for 2,7 milliarder kroner i massivt DeFi-angrep

Kelp DAO reagerte på 46 minutter

Kelp DAO varslet om mistenkelig cross-chain aktivitet på sosiale medier kort tid etter angrepet og iverksatte nødtiltak. Ifølge opplysninger fra protokollen selv ble alle rsETH-kontrakter på Ethereum mainnet og flere Layer 2-nettverk satt på pause. Rundt 46 minutter etter det første vellykkede uttaket frøs et multisig-nødsystem kjernekontraktene — og blokkerte to etterfølgende forsøk på å trekke ut ytterligere 40 000 rsETH.

Kelp DAO opplyser at de samarbeider aktivt med LayerZero, Unichain og ledende sikkerhetseksperter for å kartlegge den eksakte årsaken til angrepet. LayerZero har bekreftet sin involvering og varslet at en felles rapport vil bli publisert.

$292M
Stjålet fra Kelp DAO
$236M
Estimert bad debt på Aave

Ringvirkninger i DeFi-økosystemet

Hacket sendte sjokkbølger gjennom DeFi-sektoren. Aave frøs sine rsETH-markeder på både V3 og V4. Marc Zeller, grunnlegger av Aave Chan Initiative, oppfordret brukere med WETH-innskudd på Aave V3 Core til å ta ut midlene umiddelbart.

Aave planlegger å bruke sitt "Umbrella backstop"-system — et sikkerhetsnettverk som erstattet den eldre Safety Module-modulen sent i 2025 — for å dekke inn tapet. Full dekning er likevel ikke garantert, og WETH-innskytere kan risikere delvis uttrekk.

Flere andre protokoller reagerte også raskt: SparkLend og Fluid frøs sine rsETH-markeder, mens Lido Finance satte innskudd i sitt earnETH-produkt på pause. Stablecoin-utstederen Ethena stengte midlertidig sine LayerZero-broer som forsiktighetstiltak. Fluid forsikret at det ikke var vesentlig eksponering på Layer 2, og at brukermidler er trygge.

Ingen klar kompensasjonsplan ennå

Per publiseringstidspunkt har Kelp DAO ikke offentliggjort en konkret plan for brukerkompensasjon. Offisielle meldinger fra protokollen har utelukkende fokusert på den pågående etterforskningen og umiddelbare risikoreduserende tiltak. Det er uklart hvilken prosent av tapte midler som eventuelt kan dekkes, eller innen hvilken tidsramme en løsning kan forventes.

250 millioner dollar er allerede konvertert til ETH og delvis vasket gjennom Tornado Cash — gjenfinning av midler anses som svært utfordrende

Strukturell risiko i liquid restaking

Angrepet på Kelp DAO retter søkelyset mot en fundamental utfordring i liquid restaking-sektoren: høy komposabilitet gir stor kapitaleffektivitet, men skaper også kaskadeeffekter når ett ledd svikter. LRT-tokens som rsETH brukes som sikkerhet på tvers av flere protokoller, og en enkelt sårbarhet kan raskt forplante seg gjennom hele DeFi-stakken.

Sektoren har vokst kraftig — EigenLayer alene hadde en TVL på over 18 milliarder dollar i september 2025. Det gjør protokollene til attraktive mål for sofistikerte angripere.

Kelp DAO tilbyr et bug bounty-program med belønninger på inntil 250 000 dollar, og har gjennomført revisjoner med anerkjente sikkerhetsselskaper. Likevel viser hendelsen at selv auditerte protokoller med nødstopmekanismer kan rammes når kompleksiteten i cross-chain-arkitektur introduserer nye angrepsvektorer.

Kildehenvisninger: DL News, Cyvers, Aave Chan Initiative (Marc Zeller), Kelp DAO offisielle kommunikasjoner. Opplysninger om kompensasjonsplan er per dags dato ubekreftet fra Kelp DAO.