Secondo quanto riferito, il 18 aprile 2026 un hacker avrebbe sfruttato una vulnerabilità nel processo di emissione del token di restaking liquido rsETH di KelpDAO, sottraendo una somma stimata di almeno 280 milioni di dollari tra Ethereum e Arbitrum. Punti chiave:
ZachXBT segnala una vulnerabilità di KelpDAO che ha causato perdite per oltre 280 milioni di dollari nei mercati di prestito DeFi su Ethereum
SCRITTO DA
CONDIVIDI
- ZachXBT ha segnalato un furto di oltre 280 milioni di dollari sui protocolli DeFi di Ethereum e Arbitrum il 18 aprile 2026.
- La vulnerabilità di conio di rsETH di KelpDAO ha generato crediti inesigibili su Aave V3, con il token AAVE che ha perso circa il 10-13%.
- KelpDAO non ha confermato l'exploit; gli analisti stanno monitorando sei portafogli degli aggressori identificati alla ricerca di indizi per il recupero.
Exploit DeFi su Ethereum: l'attacco rsETH a KelpDAO prosciuga oltre 280 milioni di dollari
L'investigatore on-chain ZachXBT ha pubblicato l'allerta iniziale sul suo canale Telegram pubblico poco prima delle 15:00 ET, elencando sei indirizzi di portafogli collegati al furto e sottolineando che i portafogli degli aggressori erano stati finanziati tramite Tornado Cash prima che iniziasse il prelievo. Il suo post citava perdite superiori a 280 milioni di dollari su più protocolli DeFi senza nominare direttamente KelpDAO, ma gli analisti on-chain hanno collegato gli indirizzi nel giro di poche ore.
"Sembra che a KelpDAO siano stati rubati oltre 280 milioni di dollari un'ora fa su Ethereum e Arbitrum", ha scritto ZachXBT. "Gli indirizzi dell'attacco sono stati finanziati tramite Tornado Cash."
L'attacco ha seguito un copione ben collaudato. Secondo quanto riportato, gli aggressori sembrano aver sfruttato una falla nella logica di conio di rsETH, creando un grande volume del token di restaking liquido senza fornire adeguate garanzie. Quel rsETH gonfiato è stato poi depositato nei mercati di prestito di Aave V3 sia su Ethereum che su Arbitrum, dove l'aggressore ha preso in prestito ingenti quantità di ETH e altre risorse a fronte di esso.
Una volta che la garanzia è stata riconosciuta come priva di valore, quelle posizioni hanno lasciato Aave con crediti inesigibili. Le stime della comunità sulle perdite totali variavano da 100 milioni a circa 293 milioni di dollari, l'equivalente di circa 116.500 ETH ai prezzi attuali. AAVE ha registrato un forte calo alla notizia. I dati di mercato mostrano un calo compreso tra il 10% e il 13% nelle ore successive all'allerta iniziale, poiché il mercato ha valutato la potenziale esposizione al credito inesigibile nei pool di prestito del protocollo. I token di restaking liquidi come rsETH sono profondamente integrati nella composabilità della DeFi. Sono accettati come garanzia su più mercati di prestito contemporaneamente, il che significa che un exploit di conio può diffondere rapidamente le perdite tra le piattaforme. L'incidente di KelpDAO illustra direttamente questo rischio.
I portafogli degli aggressori elencati da ZachXBT mostravano ingenti posizioni in ETH detenute su Aave e Compound. Secondo quanto riferito, un solo indirizzo deteneva circa 120 milioni di dollari in ETH su Aave al momento del rilevamento. I fondi sono stati trasferiti rapidamente dopo il drenaggio.
L'uso di Tornado Cash per prefinanziare i portafogli operativi prima dell'attacco è una tattica standard per gli aggressori che cercano di nascondere le origini. Non indica una nuova tecnica, ma conferma che l'operazione era deliberata e pianificata.
Alle 15:00 circa (ora della costa orientale) del 18 aprile, KelpDAO non aveva ancora pubblicato una dichiarazione ufficiale o un resoconto post-mortem. La comunità stava monitorando l'account X e il sito web del progetto in attesa di una risposta, nonché i canali di governance di Aave per eventuali azioni di emergenza.
Le società di sicurezza DeFi, tra cui Peckshield, Slowmist e altre, non avevano ancora pubblicato analisi dettagliate al momento della stesura di questo articolo, a dimostrazione di quanto rapidamente si sia evoluta la situazione. ZachXBT non aveva pubblicato un seguito che nominasse specificamente KelpDAO nei canali pubblici, ma la sovrapposizione degli indirizzi tracciava una linea chiara.
L'attacco hacker al Drift Protocol del 2026: cosa è successo, chi ha perso denaro e quali saranno i prossimi passi
Il 1° aprile 2026, Drift Protocol ha subito una perdita di 286 milioni di dollari a seguito di un attacco hacker alla DeFi di Solana durato 12 minuti, attribuito ad attori della Corea del Nord che hanno utilizzato garanzie false… read more.
Leggi ora
L'attacco hacker al Drift Protocol del 2026: cosa è successo, chi ha perso denaro e quali saranno i prossimi passi
Il 1° aprile 2026, Drift Protocol ha subito una perdita di 286 milioni di dollari a seguito di un attacco hacker alla DeFi di Solana durato 12 minuti, attribuito ad attori della Corea del Nord che hanno utilizzato garanzie false… read more.
Leggi oraL'attacco hacker al Drift Protocol del 2026: cosa è successo, chi ha perso denaro e quali saranno i prossimi passi
Leggi oraIl 1° aprile 2026, Drift Protocol ha subito una perdita di 286 milioni di dollari a seguito di un attacco hacker alla DeFi di Solana durato 12 minuti, attribuito ad attori della Corea del Nord che hanno utilizzato garanzie false… read more.
Questo incidente è distinto dall'exploit del Drift Protocol segnalato per la prima volta da Bitcoin.com News il 1° aprile 2026, che ha comportato il drenaggio di circa 280 milioni di dollari principalmente su Solana prima che l'USDC fosse trasferito su Ethereum tramite CCTP. I meccanismi, le catene e le tempistiche sono distinti.
Chiunque detenesse rsETH o posizioni correlate su Aave, Compound o altri mercati di prestito è stato invitato dai membri della comunità a rivedere la propria esposizione mentre la situazione rimaneva irrisolta. I sei portafogli degli aggressori identificati da ZachXBT rimangono obiettivi attivi per il tracciamento on-chain, mentre gli analisti lavorano per mappare dove si sono spostati i fondi dopo aver lasciato Aave.
