En angripare ska enligt uppgift ha utnyttjat en säkerhetsbrist i KelpDAO:s rsETH-token för likvid restaking den 18 april 2026 och tömt konton på uppskattningsvis 280 miljoner dollar eller mer på Ethereum och Arbitrum.
ZachXBT varnar för ett KelpDAO-säkerhetshål på över 280 miljoner dollar som drabbar Ethereums DeFi-lånemarknader
SKRIVEN AV
DELA
Huvudpunkter:
- ZachXBT uppmärksammade en stöld på över 280 miljoner dollar från DeFi-protokoll på Ethereum och Arbitrum den 18 april 2026.
- KelpDAOs brist i rsETH-mintingen skapade osäkra fordringar på Aave V3, vilket ledde till att AAVE-token sjönk med cirka 10–13 %.
- KelpDAO har inte bekräftat exploateringen; analytiker övervakar sex identifierade angriparplånböcker för att hitta ledtrådar till återvinning.
Ethereum DeFi-exploit: KelpDAO rsETH-attack tömmer över 280 miljoner dollar
Onchain-utredaren ZachXBT publicerade den första varningen på sin offentliga Telegram-kanal strax före kl. 15.00 ET, där han listade sex plånboksadresser kopplade till stölden och noterade att angriparnas plånböcker hade finansierats via Tornado Cash innan tömningen började. Hans inlägg nämnde förluster på över 280 miljoner dollar över flera DeFi-protokoll utan att direkt nämna KelpDAO, men onchain–analytiker kopplade ihop adresserna inom några timmar.
"KelpDAO verkar ha blivit bestulna på över 280 miljoner dollar för en timme sedan på Ethereum och Arbitrum", skrev ZachXBT. "Attackadresserna finansierades via Tornado Cash."
Attacken följde ett välbekant mönster. Rapporterna säger att angriparna verkar ha utnyttjat en brist i rsETH:s myntningslogik och skapat en stor volym av den likvida restaking-token utan att tillhandahålla korrekt säkerhet. Den uppblåsta rsETH deponerades sedan på Aave V3:s utlåningsmarknader på både Ethereum och Arbitrum, där angriparen lånade betydande belopp av ETH och andra tillgångar mot den.
När säkerheten erkändes som värdelös lämnade dessa positioner Aave med osäkra fordringar. Gemenskapens uppskattningar av de totala förlusterna varierade mellan 100 miljoner dollar och ungefär 293 miljoner dollar, vilket motsvarar cirka 116 500 ETH till nuvarande priser.
AAVE föll kraftigt på nyheten. Marknadsdata visar en nedgång på mellan 10 % och 13 % inom några timmar efter den första varningen, då marknaden vägde in den potentiella exponeringen för osäkra fordringar i protokollets lånepooler.
Likvida restaking-tokens som rsETH ligger djupt inne i DeFi:s komposibilitet. De accepteras som säkerhet på flera lånemarknader samtidigt, vilket innebär att en utnyttjande av myntningen snabbt kan sprida förluster över plattformarna. KelpDAO-incidenten illustrerar den risken direkt.
Angriparnas plånböcker som listades av ZachXBT visade stora ETH-positioner på Aave och Compound. En enda adress ska enligt uppgift ha innehavt cirka 120 miljoner dollar i ETH på Aave vid tidpunkten för upptäckten. Medlen flyttades snabbt efter tömningen.
Användningen av Tornado Cash för att förfinansiera operativa plånböcker före attacken är en standardtaktik för angripare som försöker dölja ursprunget. Det indikerar inte en ny teknik, men det bekräftar att operationen var avsiktlig och planerad.
Klockan 15.00 ET den 18 april hade KelpDAO ännu inte publicerat något officiellt uttalande eller någon efteranalys. Communityn följde projektets X-konto och webbplats i väntan på ett svar, liksom Aaves styrningskanaler för eventuella nödåtgärder.
DeFi-säkerhetsföretag, däribland Peckshield, Slowmist och andra, hade vid skrivande stund ännu inte publicerat detaljerade analyser, vilket speglar hur snabbt situationen utvecklades. ZachXBT hade inte publicerat någon uppföljning där KelpDAO specifikt nämndes i offentliga kanaler, men adressöverlappningen drog en tydlig gräns.
Hacket mot Drift Protocol 2026: Vad hände, vem förlorade pengar och vad händer nu?
Drift Protocol förlorade 286 miljoner dollar den 1 april 2026 i ett 12 minuter långt hack mot Solana DeFi, som kopplades till aktörer från Nordkorea som använde falska säkerheter och social manipulation. read more.
Läs nu
Hacket mot Drift Protocol 2026: Vad hände, vem förlorade pengar och vad händer nu?
Drift Protocol förlorade 286 miljoner dollar den 1 april 2026 i ett 12 minuter långt hack mot Solana DeFi, som kopplades till aktörer från Nordkorea som använde falska säkerheter och social manipulation. read more.
Läs nuHacket mot Drift Protocol 2026: Vad hände, vem förlorade pengar och vad händer nu?
Läs nuDrift Protocol förlorade 286 miljoner dollar den 1 april 2026 i ett 12 minuter långt hack mot Solana DeFi, som kopplades till aktörer från Nordkorea som använde falska säkerheter och social manipulation. read more.
Denna incident är skild från det Drift Protocol-utnyttjande som först rapporterades av Bitcoin.com News den 1 april 2026, vilket innebar att ungefär 280 miljoner dollar tömdes främst på Solana innan USDC överfördes till Ethereum via CCTP. Mekanismerna, kedjorna och tidslinjerna är olika.
Alla som innehar rsETH eller relaterade positioner på Aave, Compound eller andra utlåningsmarknader uppmanades av communitymedlemmar att granska sin exponering medan situationen förblev olöst.
De sex angriparplånböckerna som identifierats av ZachXBT förblir aktiva mål för spårning på kedjan medan analytiker arbetar med att kartlägga vart medlen flyttades efter att de lämnat Aave.
