ZachXBT varsler om KelpDAO-utnyttelse på over 280 millioner dollar som rammer Ethereums DeFi-utlånsmarkeder

Viktige punkter:

• ZachXBT flagget et tyveri på 280 millioner dollar+ på tvers av Ethereum- og Arbitrum-DeFi-protokoller 18. april 2026.
• KelpDAO sin rsETH-pregefeil skapte dårlige lån (bad debt) på Aave V3, og AAVE-tokenet falt omtrent 10–13%.
• KelpDAO har ikke bekreftet utnyttelsen; analytikere overvåker seks identifiserte angriper-lommebøker for spor om mulig tilbakeføring.

Ethereum DeFi-utnyttelse: KelpDAO rsETH-angrep tapper over 280 millioner dollar

Onchain-etterforsker ZachXBT publiserte den første varslingen i sin offentlige Telegram-kanal like før kl. 15:00 ET, der han listet seks lommebokadresser knyttet til tyveriet og bemerket at angriperens lommebøker ble fundet via Tornado Cash før tappingen startet. Innlegget hans viste til tap som oversteg 280 millioner dollar på tvers av flere DeFi-protokoller uten å nevne KelpDAO direkte, men onchain-analytikerne koblet adressene i løpet av få timer.

«KelpDAO ser ut til å ha fått stjålet 280 millioner dollar+ for én time siden på Ethereum og Arbitrum», skrev ZachXBT. «Angrepsadressene ble finansiert via Tornado Cash.»

Angrepet fulgte en velkjent oppskrift. Rapporter sier at angriperne ser ut til å ha utnyttet en feil i rsETHs pregelogikk, og skapt et stort volum av tokenet for flytende restaking uten å stille korrekt sikkerhet. Denne oppblåste rsETH-en ble deretter satt inn i Aave V3s utlånsmarkeder på både Ethereum og Arbitrum, der angriperen lånte betydelige mengder ETH og andre eiendeler mot den.

Da sikkerheten ble anerkjent som verdiløs, etterlot disse posisjonene Aave med dårlige lån. Community-estimater for totale tap varierte fra 100 millioner dollar til omtrent 293 millioner dollar, tilsvarende rundt 116 500 ETH til dagens priser.

AAVE falt kraftig på nyheten. Markedsdata viser et fall på mellom 10% og 13% i løpet av få timer etter den første varslingen, ettersom markedet vurderte potensiell eksponering for dårlige lån på tvers av protokollens utlånspooler.

Tokens for flytende restaking som rsETH ligger dypt inne i DeFis komponerbarhet. De aksepteres som sikkerhet i flere utlånsmarkeder samtidig, noe som betyr at en pregeutnyttelse raskt kan spre tap på tvers av plattformer. Hendelsen med KelpDAO illustrerer denne risikoen direkte.

Angriper-lommebøkene som ZachXBT listet, viste store ETH-posisjoner holdt på Aave og Compound. Én adresse alene skal angivelig ha hatt omtrent 120 millioner dollar i ETH på Aave på oppdagelsestidspunktet. Midler ble flyttet raskt etter tappingen.

Bruken av Tornado Cash til å forhåndsfinansiere operative lommebøker før angrepet er en standard taktikk for angripere som forsøker å skjule opprinnelsen. Det indikerer ikke en ny teknikk, men bekrefter at operasjonen var bevisst og planlagt.

Per omtrent kl. 15:00 ET den 18. april hadde KelpDAO ikke publisert noen offisiell uttalelse eller post-mortem. Communityet fulgte prosjektets X-konto og nettsted for en respons, samt Aave governance-kanaler for eventuelle hastetiltak.

DeFi-sikkerhetsselskaper, inkludert Peckshield, Slowmist og andre, hadde ennå ikke publisert detaljerte gjennomganger på tidspunktet dette ble skrevet, noe som gjenspeiler hvor raskt situasjonen utviklet seg. ZachXBT hadde ikke publisert en oppfølging som spesifikt navnga KelpDAO i offentlige kanaler, men adresseoverlappet trakk en tydelig linje.

Denne hendelsen er separat fra Drift Protocol-utnyttelsen som først ble rapportert av Bitcoin.com News 1. april 2026, der omtrent 280 millioner dollar ble tappet primært på Solana før USDC ble broet til Ethereum via CCTP. Mekanikk, kjeder og tidslinjer er forskjellige.

Alle som holder rsETH eller relaterte posisjoner på Aave, Compound eller andre utlånsmarkeder, ble av community-medlemmer rådet til å gjennomgå eksponering mens situasjonen fortsatt var uavklart.

De seks angriper-lommebøkene som ZachXBT identifiserte, forblir aktive mål for onchain-sporing mens analytikere jobber med å kartlegge hvor midlene flyttet seg etter å ha forlatt Aave.