è diventato un caso studio definitorio sul rischio sistemico di DeFi. Ecco l'intelligence espansa sull'operazione di lavaggio, il collasso della liquidità di Aave e i fallimenti di sicurezza specifici coinvolti.
1. Il Lavaggio: Un Masterclass sulla Velocità Cross-Chain
L'exploiter, legato al Lazarus Group della Corea del Nord, ha eseguito una strategia di uscita altamente efficiente dopo aver mintato 116.500 rsETH (circa $292M) dal nulla tramite un attacco di falsificazione dei messaggi.
• THORChain come una Black Box: Entro 36 ore dall'hack, gli aggressori hanno instradato quasi 75.700 ETH ($175M) attraverso THORChain, scambiandoli direttamente in Bitcoin Nativo. Utilizzando i nodi senza permesso e non custodial di THORChain, sono riusciti a bypassare i freeze degli exchange centralizzati (CEX) e hanno miscelato i fondi prima del rally del Bitcoin a $78.400.
• L'"Inciampo" di Arbitrum: L'unico recupero significativo è avvenuto il 21 aprile, quando il Consiglio di Sicurezza di Arbitrum ha utilizzato i poteri di intervento d'emergenza per congelare 30.766 ETH ($71M) detenuti sulla rete Arbitrum One. Questa è stata una vittoria "giurisdizionale": mentre il consiglio poteva "riprendersi" i fondi sul loro Layer 2, non aveva potere sui restanti $175M su Ethereum Mainnet.
• Livello di Privacy: Piccole porzioni del bottino (circa $78.000) sono state rilevate in movimento attraverso il protocollo di privacy Umbra per oscurare ulteriormente la traccia digitale.
2. La Crisi "Fantasma" di Aave da $16B
Il TVL di Aave non è solo sceso; ha subito un collasso strutturale della liquidità. Sebbene i contratti smart core di Aave siano rimasti sicuri, la gestione del rischio del protocollo è stata armata dall'hacker.
• Meccaniche del Debito Cattivo: L'hacker ha depositato l'rsETH non garantito in Aave V3 come collaterale per prendere in prestito $190M in WETH e altri asset. Poiché l'rsETH non aveva valore reale, Aave è rimasta con un debito cattivo stimato tra $196M e $230M una volta confermato il compromesso del bridge di KelpDAO.
• La Trappola del 100% di Utilizzazione: Mentre le balene e le istituzioni (incluso Justin Sun) si affrettavano a ritirare, i mercati WETH e USDT hanno raggiunto il 100% di utilizzo. Ciò significava che molti depositanti regolari erano effettivamente bloccati, incapaci di ritirare i loro fondi perché i pool erano completamente svuotati dal panico.
• Volo verso la Qualità: Oltre $1.3B di capitale ritirato è immediatamente ruotato verso SparkLend e altri protocolli di "collaterale duro", segnalando una massiccia perdita di fiducia nei Token di Liquid Restaking (LRT) come collaterale valido.
3. Sicurezza del Bridge: Il "1 di 1" Punto Unico di Guasto
Il post-mortem di Chainalysis e LayerZero Labs ha rivelato che non si trattava di un bug del codice, ma di un takeover dell'infrastruttura.
• Il Compromesso degli RPC: Il Gruppo Lazarus non ha hackerato i contratti smart. Invece, hanno compromesso i nodi RPC interni utilizzati dalla Rete di Verificatori Decentralizzati (DVN) di LayerZero. Hanno fornito dati falsificati al verificatore mentre lanciavano simultaneamente un attacco DDoS sui nodi esterni per impedire loro di "correggere" la menzogna.
• La Configurazione 1 di 1: Un'importante controversia pubblica è scoppiata tra KelpDAO e LayerZero. LayerZero ha rivelato che KelpDAO aveva utilizzato una configurazione DVN 1 di 1—significa che solo un verificatore doveva essere ingannato per rilasciare i fondi del bridge.
• Sophistication di Lazarus: Il malware utilizzato sui nodi RPC era progettato per autodistruggersi e cancellare tutti i log/binari una volta rilasciati i $292M, lasciando agli investigatori una scena del crimine digitale "fredda".
Il Punto Focale per il 2026
Questo evento conferma che, mentre il codice on-chain sta diventando più sicuro, l'infrastruttura off-chain (RPCs/Oracoli) e le configurazioni di verificatori cross-chain sono ora i principali obiettivi. Il "Contagio Kelp" ha forzato un enorme cambiamento a livello industriale verso DVN Multi-Sig e LTV più bassi per gli asset ripristinati. 🛡️🌉📉
#KelpDAO #Aave #LazarusGroup #DefiExploits #SicurezzaDelBridge #Arbitrum #THORChain
Operazione di Lavaggio Completa
L'exploit di KelpDAO ha scambiato quasi tutti i 75.700 ETH rubati (del valore di $175M) in Bitcoin attraverso THORChain in sole 36 ore, riducendo il recupero solo alla parte congelata di Arbitrum.
Il Contagio DeFi si Diffonde
Il TVL di Aave è crollato da $45.8B a $29.6B, perdendo $16.2B in depositi mentre lo sfruttamento ha creato $230M di debito cattivo e ha innescato prelievi in panico attraverso protocolli senza esposizione diretta.
Crisi di Sicurezza del Bridge
LayerZero ha attribuito l'attacco al Gruppo Lazarus della Corea del Nord, evidenziando che i bridge cross-chain rimangono il punto più debole con le perdite per sfruttamento del 2026 che corrispondono ai livelli del 2025.$ETH
