Un hack di un progetto crypto del valore di centinaia di milioni ha innescato un deflusso di capitali di miliardi di dollari dal settore della finanza decentralizzata. Questo ha influenzato le operazioni di dozzine di progetti crypto.
In meno di 24 ore, $6.2 miliardi in attivi, quasi il 30% di tutti i depositi degli utenti: sono stati ritirati da Aave, il più grande protocollo di prestito nel mercato crypto. Il motivo per l'“esodo” dei clienti è stato un hack del ponte cross-chain Kelp DAO, in cui gli aggressori hanno rubato $291 milioni. L'incidente è stato collegato al gruppo nordcoreano Lazarus Group, accusato all'inizio di aprile di aver hackerato il protocollo crypto Drift per $280 milioni. Non siamo nemmeno a metà del 2026, ma gli esperti l'hanno già valutato come “probabilmente il peggior anno in termini di hack.”
L'incidente recente, se non il più grande in termini di danni nella storia del mercato crypto, è uno dei più estesi in termini di numero di protocolli coinvolti nella catena di conseguenze dall'hack. Dall'inizio del 2026, le perdite dagli hack DeFi hanno totalizzato almeno 795 milioni di dollari. Almeno 30 applicazioni di finanza decentralizzata (DeFi) hanno sospeso o limitato le operazioni del protocollo fino a quando le circostanze non sono chiarite e le misure di sicurezza non sono implementate. Questa lista include progetti come Aave, Swell, LayerZero, Spark, Curve, Ethena, Morpho e altri.
È probabile che le conseguenze dell'hack possano essere più gravi dell'importo dei fondi rubati. Tanto che il fondatore di Tron, Justin Sun, ha tentato di negoziare con gli hacker via X: "Quanto volete? Basta non sacrificare né Aave né Kelp DAO a causa di questo hack." Ma per quanto ne sappiamo al momento della pubblicazione, la sua offerta è rimasta senza risposta.
E alcuni ricercatori collegano il brusco aumento del numero di attacchi riusciti all'emergere di potenti reti neurali, in particolare Mythos. L'intelligenza artificiale consente agli hacker di trovare automaticamente vulnerabilità nei contratti smart e di scalare gli attacchi a una velocità senza precedenti.
L'Hack di Kelp
Sabato 18 aprile, gli attaccanti hanno preso di mira il ponte cross-chain Kelp DAO, costruito sull'infrastruttura LayerZero. Sfruttando una vulnerabilità, sono riusciti a generare 116.500 rsETH, del valore di 291 milioni di dollari all'epoca. Questo è un token derivato liquido che può essere tecnicamente utilizzato nelle operazioni di trading, proprio come gli asset crypto normali. Tuttavia, a differenza della maggior parte degli attacchi, gli hacker non hanno immediatamente ritirato i fondi in stablecoin, ma hanno utilizzato i token rubati per operazioni di prestito.
I rsETH rubati sono stati depositati in Aave come garanzia. Gli attaccanti hanno poi preso in prestito asset reali (principalmente Ethereum e la sua versione avvolta, WETH), creando quello che è noto come "debito cattivo." Questo ha immediatamente impattato la liquidità del protocollo.
Di conseguenza, i pool chiave di Ethereum e WETH si sono praticamente esauriti di tutti i fondi prelevabili, e gli utenti normali che avevano precedentemente fornito liquidità hanno perso la possibilità di ritirare i loro depositi.
Questa situazione somiglia a una classica "corsa agli sportelli", che è un prelievo di massa e guidato dal panico di fondi da parte dei depositanti da una banca. Questo si verifica tipicamente a causa di dubbi sulla stabilità finanziaria della banca, e più persone cercano di ritirare contante, maggiore è la probabilità che la banca vada in default.
Il capo della strategia per il progetto DeFi Spark, sotto lo pseudonimo monetsupply.eth, ha notato che gli utenti hanno iniziato a prendere in prestito fondi utilizzando i loro depositi in stablecoin come garanzia nel tentativo di salvare il proprio capitale, il che ha solo esacerbato il problema.
Il mercato ha reagito in modo deciso. Sebbene la capitalizzazione totale del mercato crypto sia scesa di circa il 4%, a 2,5 trilioni di dollari dal suo picco il giorno dell'hack, entro la mattina del 20 aprile, circa il 14% di tutti i depositi degli utenti è stato ritirato dal settore DeFi durante lo stesso periodo. L'importo totale dei fondi bloccati nel settore era di circa 86 miliardi di dollari entro la mattina del 20 aprile.
Il fondatore di Defillama, noto su X come 0xngmi, ha notato che l'hack ha portato a ritiri da tutti i protocolli di prestito, anche su Solana (l'hack è collegato all'ecosistema Ethereum). Al 19 aprile, l'esperto ha citato cifre che mostrano che sono stati ritirati 6,2 miliardi di dollari da Aave, 716 milioni da Morpho, 272 milioni da Sky e 76 milioni da JupLend.
Chi c'è dietro gli hack?
Come si è poi scoperto, l'hack di Kelp è stato reso possibile non tanto da difetti nell'architettura di LayerZero—su cui si basa Kelp—quanto piuttosto dalle impostazioni di sicurezza di Kelp stesso. Nella sua analisi ufficiale, LayerZero ha esplicitamente indicato il mancato rispetto delle raccomandazioni di sicurezza nelle configurazioni dei nodi di rete.
Gli attaccanti hanno compromesso due di questi nodi sostituendo il loro software e hanno lanciato un attacco DDoS sui nodi rimanenti, che hanno automaticamente reindirizzato i dati ai server controllati dagli hacker. Gli esperti di LayerZero hanno collegato l'attacco al gruppo Lazarus della Corea del Nord, accusato all'inizio di aprile di aver hackato il protocollo Drift, portando al furto di 285 milioni di dollari. Così, in appena 18 giorni, lo stesso gruppo ha prelevato oltre 575 milioni di dollari da DeFi.
Il CTO di Ledger, Charles Guillemet, ha sottolineato che "è assolutamente certo che questi non siano hacker alle prime armi", notando che "il 2026 è probabilmente l'anno peggiore in termini di hack."
Ma senza sminuire la gravità dell'incidente, gli esperti non sono così pessimisti. Mikhail Egorov, fondatore del principale protocollo DeFi Curve, vede l'incidente come una lezione dolorosa ma utile: "La criptovaluta è un ambiente duro che nessuna banca sopravviverebbe. Penso che DeFi imparerà da questo incidente e ne uscirà più forte di prima."
La serie di hack DeFi di aprile è stata aggravata dagli hack di piattaforme centralizzate. Pochi giorni prima dell'incidente di Kelp, l'exchange crypto russo Grinex e il suo servizio crypto affiliato TokenSpot sono stati hackerati. I danni sono stimati in 15 milioni di dollari.
\u003ct-35/\u003e