Attacco da 292 milioni di dollari nel DeFi: KelpDAO subisce il più grande exploit del 2026

Un exploit da 292 milioni di dollari su KelpDAO ha scatenato una fuga di massa nel settore della finanza decentralizzata (DeFi) nel weekend, con oltre 10 miliardi di dollari di liquidità prelevati in pochi giorni. Il protocollo ha subito il più grande attacco del 2026, superando precedenti exploit simili, e ha costretto diversi servizi a congelare i mercati legati a rsETH.

L’attacco è iniziato sabato sera, quando un hacker ha sottratto circa 116.500 rsETH dal ponte cross-chain di KelpDAO. Secondo i dati di CryptoSlate, il valore dei token rubati ammontava a 292 milioni di dollari al momento del furto. KelpDAO emette rsETH agli utenti che depositano ETH nel suo sistema di restaking liquido, reinvestendo poi questi fondi tramite EigenLayer per generare rendimenti aggiuntivi.

Il danno subito da KelpDAO rappresenta il più grande exploit DeFi registrato nel 2026, superando attacchi precedenti. Il token nativo di EigenLayer, con una valutazione completamente diluita di 6,5 miliardi di dollari secondo CoinMarketCap, è stato al centro di attività speculative da parte di grandi investitori.

Come è avvenuto l’exploit

Il furto è stato possibile grazie a un messaggio fraudolento inviato tramite LayerZero, una rete di messaggistica cross-chain che trasferisce istruzioni e asset tra blockchain. Secondo Banteg, sviluppatore core di Yearn Finance, l’attacco ha colpito il collegamento tra Unichain ed Ethereum. Il sistema ha accettato una transazione falsa come valida, permettendo al lato Ethereum di rilasciare riserve pre-finanziate di rsETH.

Questa rotta era configurata come un percorso decentralizzato senza verificatori secondari che potessero segnalare la transazione sospetta. La transazione malevola, identificata come nonce 308, è stata verificata e completata alle 17:35 UTC. Dopo l’attacco, il portafoglio multisig di emergenza di KelpDAO ha bloccato i contratti principali del protocollo, impedendo ulteriori tentativi di prelievo per altri 100 milioni di dollari.

I fondi rubati sono stati inizialmente spostati tramite Tornado Cash, rendendo difficile tracciare la transazione. Nel frattempo, i rsETH rubati sono circolati su reti secondarie come Base, Arbitrum, Linea, Blast, Mantle e Scroll, alimentando incertezze sulla loro copertura e sulla possibilità di riscatto.

Il contagio su Aave e il crollo della liquidità

Il colpo più duro è arrivato su Aave, la più grande piattaforma di lending crypto, dove l’hacker avrebbe depositato i rsETH rubati come collaterale. Durante l’attacco, gli oracoli di prezzo di Aave hanno continuato a leggere il valore di rsETH vicino al suo peg normale, permettendo al protocollo di erogare 106.467 ETH contro il collaterale compromesso. Questo ha esposto Aave a un rischio di credito inesigibile di 236 milioni di dollari e ha scatenato una corsa agli sportelli.

Secondo i dati di DeFiLlama, il valore totale bloccato (TVL) di Aave è crollato da oltre 26 miliardi a circa 20 miliardi di dollari in pochi giorni. Gli analisti on-chain hanno rilevato che grandi detentori di ETH su DeFi hanno accelerato le loro operazioni di prelievo. Per contestualizzare, il fondatore di TRON, Justin Sun, ha recentemente annunciato l’intenzione di lanciare un fondo di 100 milioni di dollari per sostenere i protocolli DeFi in difficoltà.