Kelp DAO hacket for 293 millioner dollars

Den flydende restaking-protokol Kelp DAO blev offer for det største DeFi-hack i 2026. Angriberen stjal 116.500 $rsETH til en værdi af 293 millioner dollars gennem en sårbarhed i OFT-kontrakten drevet af LayerZero. I stedet for en simpel swap indsatte hackeren øjeblikkeligt de stjålne tokens i Aave (samt Compound V3 og Euler) og lånte ren WETH/ETH til en værdi af over 236 millioner dollars.

Dette udløste en kædereaktion. Oprettelsen af massive dårlige gældsposter (anslået til 177-280 millioner dollars) i Aave-pools fik "whales" til at gå i panik. Ifølge Lookonchain blev over 5,4 milliarder dollars i aktiver trukket ud af protokollen i ETH. WETH-pool-udnyttelsen nåede 100%, Aaves TVL faldt med mere end 6 milliarder dollars (fra 26+ milliarder dollars til ~22 milliarder dollars), og $AAVE- tokenet styrtdykkede med 20% på 24 timer.

Sådan udfoldede hacket sig

Angrebet fandt sted kl. 17:35 UTC via en forfalsket cross-chain-besked i LayerZero (lzReceive- funktionen). Angriberen lavede en falsk instruktion fra en peer-kontrakt (formodentlig på Unichain), hvilket fik Kelp DAO's OFT-adapter til at generere 116.500 rsETH (18% af hele den cirkulerende forsyning) direkte fra escrow uden nogen reel opbakning.

Dette var ikke en klassisk smart-kontrakt-fejl i selve Kelp, men en udnyttelse på broniveau, der brugte 1-af-1 DVN-validering.

Hackeren solgte aldrig rsETH på DEX'er. I stedet brugte han straks tokens som sikkerhed på tværs af flere udlånsprotokoller og hævede reel ETH. Inden for bare 46 minutter satte Kelp DAO kontrakterne på pause, og to yderligere forsøg fra hackeren (yderligere ~$200 millioner) blev blokeret.

Protokolreaktioner

• Kelp DAO satte straks alle rsETH-kontrakter på Ethereums hovednet og alle L2 (Arbitrum, Base, Scroll osv.) på pause. Officiel erklæring: "Vi arbejder med LayerZero, revisorer og sikkerhedseksperter om rodårsagsanalyse."
• Aave indefrøs alle rsETH-markeder på både V3 og V4. Grundlægger Stani Kulechov understregede: "Aave blev ikke selv hacket - problemet er, at rsETH bliver brugt som sikkerhed."
• SparkLend, Fluid og Upshift indførte også nødrestriktioner.

Markedspåvirkning

• rsETH på L2'er står nu over for alvorlig depeg-risiko, og mainnet-backup'en er kompromitteret.
• Samlet set faldt DeFi TVL med mere end 10 milliarder dollars på grund af udbredt panik.
• Dette er allerede det andet nicifrede hack på en måned (efter Drift Protocols exploit på 285 millioner dollars). 2026 er på rette vej til at slå alle rekorder for DeFi-exploitvolumener.

Hackeren er begyndt at hvidvaske penge gennem Tornado Cash. Inddrivelse af aktiver virker i øjeblikket usandsynlig, selvom Tron-grundlægger Justin Sun offentligt tilbød at "have en samtale" med angriberen.