Isang attacker ang tila nakakuha ng 116,500 rsETH mula sa cross-chain bridge ng Kelp DAO na pinapagana ng LayerZero noong Sabado, ayon sa on-chain data. Ang ninakaw na pondo ay nagkakahalaga ng humigit-kumulang $292 milyon sa kasalukuyang presyo sa merkado.
Naganap ang matagumpay na drain transaction bandang 17:35 UTC, nang tawagan ng isang wallet na kontrolado ng attacker ang lzReceive sa EndpointV2 contract ng LayerZero. Ang tawag ay nag-trigger sa bridge contract ng Kelp na maglabas ng 116,500 rsETH sa isang hiwalay na attacker address, ayon sa event logs ng transaction.
Ang attacker wallet ay pinondohan humigit-kumulang 10 oras bago pa man sa pamamagitan ng 1 ETH pool ng Tornado Cash, isang karaniwang teknik sa pagtatago ng pagkakakilanlan sa mga DeFi exploit.
"Mukhang ninakawan ang KelpDAO ng mahigit $280M isang oras na ang nakalipas sa Ethereum at Arbitrum," isinulat ng blockchain sleuth na si ZachXBT sa isang mensahe sa Telegram. "Ang mga address ng pag-atake ay pinondohan sa pamamagitan ng Tornado Cash."
Ang Kelp DAO, isang produkto sa ilalim ng KernelDAO, ay tumugon humigit-kumulang 46 minuto pagkatapos. Bandang 18:21 UTC, isinagawa ng emergency pauser multisig ng protocol ang pauseAll sa liquid restaking token configuration contract ng Kelp, na nagdulot ng Paused events sa mga pangunahing bahagi ng protocol, kabilang ang LRT Deposit Pool, Withdrawal contract, LRT Oracle at ang rsETH token mismo.
Dalawang sumunod na pagtatangka ng attacker sa 18:26 UTC at 18:28 UTC ay parehong na-revert, na nagpapahiwatig na pinigilan ng pag-pause ang karagdagang pagkuha ng pondo.
Ang exploit ay tila naka-target sa LayerZero OFT (Omnichain Fungible Token) bridge ng Kelp, na nagpapahintulot sa rsETH na lumipat sa pagitan ng mga network.
Ang 116,500 rsETH na nakuha ay kumakatawan sa humigit-kumulang 18% ng circulating supply ng rsETH, na inilista ng CoinGecko sa humigit-kumulang 630,000 token. Ang rsETH ay kasalukuyang naka-deploy sa mahigit 20 network, kabilang ang Base, Arbitrum, Linea, Blast, Mantle at Scroll, ayon sa CoinGecko.
Bumaba ang presyo ng AAVE ng humigit-kumulang 10% kasunod ng insidente, ayon sa Aave Price page ng The Block, sa gitna ng mga ulat na ang lending platform ay maaaring masadlak sa bad debt kasunod ng atake.
Tumugon ang Aave sa insidente sa pamamagitan ng pag-freeze ng mga rsETH market sa Aave V3 at V4 at pinatunayan ng kanilang team sa X na ang exploit ay may kaugnayan sa rsETH at hindi sa mga smart contract ng Aave.
"Sinusuri namin ang impormasyon tungkol sa mga rsETH borrows sa Aave na naganap pagkatapos ng exploit at ibabahagi namin ang karagdagang detalye sa lalong madaling panahon," isinulat ng Aave. "Kung ang protocol ay makakaipon ng bad debt mula sa insidente na ito, ang mga Umbrella asset ay maaaring gamitin upang mabawi ang kakulangan."
Ang kaganapan ay nagmamarka sa pangalawang insidente ng seguridad hinggil sa rsETH para sa Kelp sa loob ng humigit-kumulang isang taon.
Noong Abril 2025, pinahinto ng protocol ang mga deposito at withdrawal matapos magdulot ng labis na rsETH minting ang isang bug sa fee contract nito. Walang pondo ng user ang nawala sa insidenteng iyon, ayon sa mga pagbubunyag ng protocol noong panahong iyon.
Sa oras ng paglimbag, wala pang inilalabas na pahayag sa X ang @KelpDAO o @kernel_dao. Ang rsETH ay nagte-trade sa humigit-kumulang $2,500 sa oras ng paglimbag.
Updated bandang 20:00 UTC na may mga detalye mula sa pahayag ng Aave. Ito ay isang nagaganap na balita.
Disclaimer: Ang The Block ay isang independiyenteng media outlet na naghahatid ng balita, pananaliksik, at data. Simula Nobyembre 2023, ang Foresight Ventures ang majority investor ng The Block. Ang Foresight Ventures ay namumuhunan sa iba pang kumpanya sa crypto space. Ang crypto exchange na Bitget ay isang anchor LP para sa Foresight Ventures. Ang The Block ay patuloy na nagpapatakbo nang independiyente upang maghatid ng obhetibo, makabuluhan, at napapanahong impormasyon tungkol sa industriya ng crypto. Narito ang aming kasalukuyang mga financial disclosure.
© 2026 The Block. Lahat ng Karapatan ay Nakalaan. Ang artikulong ito ay ibinigay para sa layunin ng impormasyon lamang. Hindi ito iniaalok o inilaan upang magamit bilang legal, buwis, pamumuhunan, pinansyal, o iba pang payo.
