Un exploit devastante ha colpito lo spazio della finanza decentralizzata (DeFi) sabato 4 aprile 2026, quando Kelp DAO, un protocollo leader nel restaking liquido, ha subito un massiccio prelievo di 292 milioni di dollari del suo token ether restaked (rsETH). L'attacco, che ha preso di mira il ponte cross-chain alimentato da LayerZero di Kelp, ha conseguenze di vasta portata, gettando un'ombra sull'ecosistema del restaking e innescando una crisi di liquidità a cascata in più blockchain.

L'incidente, avvenuto alle 17:35 UTC, ha visto un attaccante ingannare il layer di messaggistica di LayerZero autorizzando un prelievo massiccio di 116,500 rsETH. Questa somma rappresenta un impressionante 18% dell'offerta circolante totale del token. L'enorme entità del furto lo rende il più grande exploit DeFi del 2026, superando il recente attacco al Drift Protocol.

L'Exploit: Decezione al Livello di Messaggistica

Kelp DAO sfrutta l'infrastruttura di LayerZero per abilitare il movimento di rsETH attraverso più di 20 diverse blockchain. Gli utenti fanno staking del loro ETH tramite Kelp, che lo instrada attraverso EigenLayer per guadagnare ulteriore rendimento, emettendo rsETH come ricevuta commerciabile. Questa architettura cross-chain si è rivelata il tallone d'Achille.

L'attaccante è riuscito a ingannare il layer di messaggistica cross-chain di LayerZero facendogli credere che un'istruzione valida fosse arrivata da un'altra rete. Questo ha attivato il bridge per rilasciare la riserva a un indirizzo controllato dall'attaccante. Quando il multisig di emergenza di Kelp ha bloccato i contratti principali 46 minuti dopo, il danno era già fatto. Due tentativi successivi di drenare ulteriori $100 milioni sono stati prontamente annullati.

#Dao #AltcoinRecoverySignals? #USInitialJoblessClaimsBelowForecast