Minder dan een dag nadat aanvallers $291 miljoen aan crypto hadden gestolen uit infrastructuur gekoppeld aan het gedecentraliseerde financieringsproject Kelp DAO, hadden gebruikers van Aave, een van DeFi's meest beproefde protocollen, moeite met het opnemen van fondsen te midden van een liquiditeitscrisis.
Een bridge die gebruikers doorgaans in staat stelt een asset genaamd rsETH van het ene netwerk naar het andere te verplaatsen, werd zaterdag geëxploiteerd, wat Aave ertoe aanzette markten die aan de token gekoppeld waren, te bevriezen. Aanvallers hadden deze token gebruikt om fondsen te lenen van het platform, zo meldde het uitleenprotocol in een X-bericht.
Ondertussen meldde Kelp DAO in een X-bericht dat het “rsETH-contracten had gepauzeerd” over Ethereum's mainnet en verschillende layer-2 schalingsnetwerken terwijl het verdachte activiteiten onderzoekt.
Eerder vandaag identificeerden we verdachte cross-chain activiteit met rsETH. We hebben rsETH-contracten gepauzeerd over het mainnet en verschillende L2's terwijl we onderzoek doen.
We werken samen met @LayerZero_Core, @unichain, onze auditors en top beveiligingsexperts aan de oorzaakanalyse (RCA).
We zullen u op de hoogte houden…
— Kelp (@KelpDAO) April 18, 2026
De activiteit van de aanvallers op Aave zorgde ervoor dat de zogenaamde utilizatiegraad van een kernuitleenpool steeg naar 100%, wat aangaf dat gebruikers die eerder Ethereum en wrapped Ethereum hadden gestort, met weinig tot geen liquiditeit zaten om op te nemen, zo bleek uit Aavescan-gegevens.
Een uur voordat Aave de markten bevroor, signaleerde blockchain-beveiligingsbedrijf PeckShield een transactie die 116.500 rsETH toonde, ter waarde van $291 miljoen op dat moment, die naar een nieuwe wallet stroomde.
De aanvallers gingen er niet vandoor met rsETH dat op kwaadwillende wijze van de bridge was vrijgegeven. In plaats daarvan gebruikten ze Aave om reguliere fondsen te lenen, waardoor “enorme wanbetaling” ontstond, zei Francesco Andreoli, hoofd ontwikkelaarsrelaties bij Consensys en MetaMask, in een X-bericht. (Disclaimer: Consensys is een van de vele investeerders in een redactioneel onafhankelijk Decrypt.)
De governance-token van Aave daalde zondag naar $90,13, een daling van 16% in de afgelopen dag, volgens CoinGecko. Ethereum daalde in dezelfde periode 2% naar $2.300.
Terwijl gebruikers moeite hadden met opnemen van Aave, begonnen ze te lenen tegen hun stortingen in stablecoins, waardoor de liquiditeit verder onder druk kwam te staan als teken van “negatieve neveneffecten”, zei monetsupply.eth, het pseudonieme hoofd strategie bij DeFi-project Spark, in een X-bericht.
De Kelp DAO exploit en de daaropvolgende gevolgen voor Aave veroorzaakten een enorme golf van opnames van verschillende DeFi-protocollen, zelfs die welke niet waren getroffen, volgens 0xngmi, de pseudonieme medeoprichter van dataprovider DefiLlama. Netto hadden gebruikers tegen zondagochtend $6,2 miljard van alleen Aave teruggetrokken, zo zeiden zij in een X-bericht.
De situatie van Aave is slecht en wordt erger. Meerdere andere pools bereiken een utilizatiegraad van 100%, waardoor uitleners vastzitten en het protocol risico loopt op verdere wanbetaling.
De uitleenrentes zijn gestegen naar 10-15%, een aanzienlijke stijging maar nog steeds geen passende beloning voor de waargenomen…
— Quit (@0xQuit) April 19, 2026
Nu de besmetting zich lijkt te verspreiden, biedt de nieuwste exploit van DeFi “veel munitie” voor critici die sceptisch staan tegenover systemen die traditionele financiële intermediairs met code proberen te vervangen, zei Salman Banei, algemeen raadsman bij Plume, een netwerk gericht op tokenisatie, in een X-bericht.
Kelp DAO geeft rsETH uit, een liquid staking token waarmee gebruikers Ethereum staking- en EigenLayer restaking-beloningen kunnen verdienen. Het fungeert als een verhandelbaar “ontvangstbewijs” voor Kelp DAO-deponenten. De Kelp DAO bridge werd gebouwd bovenop infrastructuur ontworpen door LayerZero, een protocol dat DeFi-applicaties in staat stelt berichten te verzenden en assets over blockchains over te dragen.
Stacy Muur, een gerenommeerde blockchain-onderzoeker, zei in een X-bericht dat de exploit leek te berusten op een enkel punt van falen. Ze schreef dat een “fantoom”-bericht gebruikt door aanvallers de bridge van Kelp DAO in wezen misleidde om rsETH op Ethereum vrij te geven zonder een overeenkomstige hoeveelheid tokens uit de circulatie te verwijderen op Ethereum layer-2 Unichain.
Niettemin waren sommige waarnemers enthousiast om een weg vooruit te vinden, waaronder crypto-ondernemer en Tron-oprichter Justin Sun. Hij probeerde te onderhandelen, met het argument dat de aanvallers uiteindelijk moeite zouden hebben om de gestolen fondsen uit te geven.
“Hoeveel willen jullie?” vroeg hij hen in een X-bericht. “Het is het simpelweg niet waard om zowel Aave als Kelp DAO op te offeren en ze ten onder te laten gaan door deze hack.”
