Wala pang isang araw matapos nakawin ng mga attacker ang $291 milyon na crypto mula sa imprastraktura na konektado sa decentralized finance project na Kelp DAO, nahirapan ang mga user ng Aave, isa sa mga pinakamatibay na protocol ng DeFi, na mag-withdraw ng pondo sa gitna ng kakulangan sa liquidity.
Isang bridge na karaniwang nagpapahintulot sa mga user na ilipat ang isang asset na tinatawag na rsETH mula sa isang network patungo sa isa pa ang na-exploit noong Sabado, na nagtulak sa Aave na i-freeze ang mga merkado na konektado sa token, na ginamit ng mga attacker upang manghiram ng pondo mula sa platform, ayon sa pahayag ng lending protocol sa isang X post.
Samantala, sinabi ng Kelp DAO sa isang X post na "itinigil" nito ang "mga rsETH contracts" sa buong mainnet ng Ethereum at ilang layer-2 scaling network habang iniimbestigahan nito ang kahina-hinalang aktibidad.
Earlier today we identified suspicious cross-chain activity involving rsETH. We have paused rsETH contracts across mainnet and several L2s while we investigate.
We are working with @LayerZero_Core, @unichain, our auditors and top security experts on RCA.
We will keep you…
— Kelp (@KelpDAO) April 18, 2026
Ang aktibidad ng mga attacker sa Aave ay nagdulot ng pagtaas ng tinatawag na utilization rate ng isang pangunahing lending pool sa 100%, na nagpapahiwatig na ang mga user na nag-deposit ng Ethereum at wrapped Ethereum ay naiwan na may kaunti o walang liquidity upang mag-withdraw, ayon sa datos ng Aavescan.
Isang oras bago isinara ng Aave ang mga merkado, itinuro ng blockchain security firm na PeckShield ang isang transaksyon na nagpapakita ng 116,500 rsETH, na nagkakahalaga ng $291 milyon noong panahong iyon, na dumadaloy sa isang bagong wallet.
Hindi tumakas ang mga attacker dala ang rsETH na malisyosong inilabas mula sa bridge. Sa halip, ginamit nila ang Aave upang manghiram ng regular na pondo, na lumikha ng "malaking masamang utang," ayon kay Francesco Andreoli, pinuno ng developer relations sa Consensys at MetaMask, sa isang X post. (Disclaimer: Ang Consensys ay isa sa maraming investor sa isang editorially independent na Decrypt.)
Bumaba ang governance token ng Aave sa $90.13 noong Linggo, isang 16% na pagbaba sa nakalipas na araw, ayon sa CoinGecko. Bumaba ang Ethereum ng 2% sa $2,300 sa parehong panahon.
Habang nahihirapan ang mga user na mag-withdraw mula sa Aave, nagsimula silang manghiram laban sa kanilang mga deposit sa stablecoins, na lalong nagpapahirap sa liquidity bilang tanda ng "negatibong pangalawang epekto," ayon kay monetsupply.eth, ang pseudonymous head of strategy sa DeFi project na Spark, sa isang X post.
Ang Kelp DAO exploit at ang kasunod na epekto sa Aave ay nagtulak ng napakalaking pagdagsa ng withdrawals mula sa ilang DeFi protocols, maging ang mga hindi apektado, ayon kay 0xngmi, ang pseudonymous co-founder ng data provider na DefiLlama. Sa net basis, umabot sa $6.2 bilyon ang inalis ng mga user mula sa Aave lamang noong maaga pa ang Linggo, ayon sa kanila sa isang X post.
The Aave situation is bad and getting worse. Multiple other pools are hitting 100% utilization, leaving lenders stuck and the protocol at risk of further bad debt.
Lending rates have increased to 10-15%, a notable increase but still not an appropriate reward for the perceived…
— Quit (@0xQuit) April 19, 2026
Sa pagkalat ng contagion, ang pinakabagong exploit ng DeFi ay nagbibigay ng "maraming bala" para sa mga kritiko na nagdududa sa mga sistema na naglalayong palitan ang tradisyonal na financial intermediaries ng code, ayon kay Salman Banei, general counsel sa Plume, isang network na nakatuon sa tokenization, sa isang X post.
Ang Kelp DAO ay naglalabas ng rsETH, isang liquid staking token na nagpapahintulot sa mga user na kumita ng Ethereum staking at EigenLayer restaking rewards. Ito ay nagsisilbing isang nabibiling "resibo" para sa mga depositor ng Kelp DAO. Ang Kelp DAO bridge ay binuo sa ibabaw ng imprastraktura na idinisenyo ng LayerZero, isang protocol na nagpapahintulot sa mga application ng DeFi na magpadala ng mga mensahe at maglipat ng mga asset sa iba't ibang blockchain.
Sinabi ni Stacy Muur, isang kilalang blockchain researcher, sa isang X post na ang exploit ay tila umasa sa isang single point of failure. Isinulat niya na ang isang "phantom" na mensahe na ginamit ng mga attacker ay mahalagang nalinlang ang bridge ng Kelp DAO upang maglabas ng rsETH sa Ethereum nang hindi inaalis ang katumbas na halaga ng mga token mula sa sirkulasyon sa Ethereum layer-2 Unichain.
Gayunpaman, ang ilang mga nakasaksi ay sabik na makahanap ng isang daan pasulong, kabilang ang crypto entrepreneur at tagapagtatag ng Tron na si Justin Sun. Sinubukan niyang makipag-negosasyon, na nangangatwiran na sa huli ay mahihirapan ang mga attacker na gastusin ang mga nakaw na pondo.
“Magkano [ang] gusto mo?” tanong niya sa kanila sa isang X post. “Hindi lang ito sulit na isakripisyo ang parehong Aave at Kelp DAO at hayaan silang bumagsak dahil sa hack na ito.”
