Default
Door Remote - 18 Apr 2026
Een cross-chain brug die bijna een vijfde van de circulerende voorraad van een opnieuw ingezette ethertoken bevat, is zojuist leeggemaakt en de gevolgen gaan sneller door DeFi dan Kelp DAO contracten kan pauzeren.
Een aanvaller onttrok zaterdag om 17:35 UTC 116.500 rsETH (hergebruikte ether) van Kelp DAO's LayerZero-aangedreven brug, ter waarde van ongeveer $292 miljoen tegen huidige prijzen en vertegenwoordigt ongeveer 18% van het 630.000 token circulerende aanbod van rsETH, gevolgd door CoinGecko.
LayerZero is een cross-chain berichtenlaag, oftewel de infrastructuur waarmee verschillende blockchains geverifieerde instructies naar elkaar kunnen sturen. Kelp DAO is een liquid resttaking-protocol, dat door de gebruiker gedeponeerde ETH gebruikt, deze via EigenLayer leidt om extra opbrengst te verdienen bovenop de standaard Ethereum-stakingbeloningen, en rsETH uitgeeft als een verhandelbaar ontvangstbewijs.
De brug die werd leeggemaakt bevatte de rsETH reserve-backing-versies van het token dat op meer dan 20 andere blockchains werd ingezet.
De aanvaller liet de cross-chain berichtenlaag van LayerZero geloven dat er een geldige instructie was binnengekomen van een ander netwerk, wat ertoe leidde dat Kelp's bridge 116.500 rsETH vrijgaf naar een door de aanvaller gecontroleerd adres.
Kelp's noodpauzeer multisig bevroor de kerncontracten van het protocol 46 minuten na de succesvolle afvoer, om 18:21 UTC. Twee vervolgpogingen om 18:26 UTC en 18:28 UTC keerden beide terug, elk met hetzelfde LayerZero-pakket met een poging tot nog eens 40.000 rsETH-afvoer ter waarde van ongeveer $ 100 miljoen.
rsETH wordt ingezet in meer dan 20 netwerken, waaronder Base, Arbitrum, Linea, Blast, Mantle en Scroll, waarbij LayerZero's OFT-standaard de cross-chain-beweging afhandelt.
De rsETH die in de brug werd bewaard, waren de reserve-backing-versies op elke laag 2-blockchain, of netwerken die bovenop Ethereum draaien.
Nu die reserve is uitgeput, worden houders van niet-Ethereum-implementaties nu geconfronteerd met de vraag of er iets onder hun tokens zit, wat een feedbacklus creëert waarin paniekaflossingen op L2's het onaangetaste Ethereum-aanbod onder druk zetten, waardoor Kelp mogelijk wordt gedwongen zich terug te trekken en posities in te nemen om opnames te honoreren.
De besmettingslijst is lang en groeit nog steeds.
Aave bevroor de rsETH-markten op V3 en V4 binnen enkele uren, waarbij oprichter Stani Kulechov bevestigde dat de exploit extern was en dat de contracten van Aave niet in gevaar waren gebracht. SparkLend en Fluid bevroor hun rSETH-markten.
AAVE daalde met ongeveer 10% omdat de markt potentiële dubieuze schulden inprijsde.
Lido Finance heeft verdere stortingen in zijn earnETH-product, dat blootstelling aan rsETH met zich meebrengt, stopgezet, terwijl het verduidelijkt dat sETH en wstETH niet worden beïnvloed en dat het kernprotocol van Lido-staking niet bij het incident betrokken is.
Ethena heeft uit voorzorg tijdelijk zijn LayerZero OFT-bridges van het Ethereum-mainnet stopgezet, omdat het geen rsETH-blootstelling heeft en voor meer dan 101% overonderpand heeft. De uitgever van stablecoin zei dat de pauze ongeveer zes uur zou duren, terwijl de oorzaak wordt geïdentificeerd.
Kelp, een product onder de paraplu van KernelDAO, erkende het incident in zijn eerste openbare X-post om 20:10 UTC, bijna drie uur na de afvoer. Het protocol zei dat het onderzoek deed samen met LayerZero, Unichain, zijn auditors en externe beveiligingsspecialisten. Er is niet bekendgemaakt hoe de exploit de validatielogica van de bridge omzeilde.
Of rETH het hele weekend stand houdt, hangt af van hoeveel van de cross-chain float probeert in te wisselen voor ETH op Ethereum en of Kelp een deel van het gestolen geld kan terugkrijgen voordat het Tornado Cash-spoor koud wordt.
De hack belandt in een ongewoon vijandig traject voor DeFi. Op Solana gebaseerd perpetuals-protocol Drift verloor op 1 april ongeveer 285 miljoen dollar in een aanval die later in verband werd gebracht met aan Noord-Korea gelieerde actoren, en in de weken daarna zijn minstens een dozijn kleinere protocollen uitgebuit, waaronder CoW Swap, Zerion, Rhea Finance en Silo Finance.
Het verlies van Kelp van $ 292 miljoen is nu de grootste DeFi-exploit van 2026 en haalt Drift met een paar miljoen dollar in.
Een aanvaller onttrok zaterdag om 17:35 UTC 116.500 rsETH (hergebruikte ether) van Kelp DAO's LayerZero-aangedreven brug, ter waarde van ongeveer $292 miljoen tegen huidige prijzen en vertegenwoordigt ongeveer 18% van het 630.000 token circulerende aanbod van rsETH, gevolgd door CoinGecko.
LayerZero is een cross-chain berichtenlaag, oftewel de infrastructuur waarmee verschillende blockchains geverifieerde instructies naar elkaar kunnen sturen. Kelp DAO is een liquid resttaking-protocol, dat door de gebruiker gedeponeerde ETH gebruikt, deze via EigenLayer leidt om extra opbrengst te verdienen bovenop de standaard Ethereum-stakingbeloningen, en rsETH uitgeeft als een verhandelbaar ontvangstbewijs.
De brug die werd leeggemaakt bevatte de rsETH reserve-backing-versies van het token dat op meer dan 20 andere blockchains werd ingezet.
De aanvaller liet de cross-chain berichtenlaag van LayerZero geloven dat er een geldige instructie was binnengekomen van een ander netwerk, wat ertoe leidde dat Kelp's bridge 116.500 rsETH vrijgaf naar een door de aanvaller gecontroleerd adres.
Kelp's noodpauzeer multisig bevroor de kerncontracten van het protocol 46 minuten na de succesvolle afvoer, om 18:21 UTC. Twee vervolgpogingen om 18:26 UTC en 18:28 UTC keerden beide terug, elk met hetzelfde LayerZero-pakket met een poging tot nog eens 40.000 rsETH-afvoer ter waarde van ongeveer $ 100 miljoen.
rsETH wordt ingezet in meer dan 20 netwerken, waaronder Base, Arbitrum, Linea, Blast, Mantle en Scroll, waarbij LayerZero's OFT-standaard de cross-chain-beweging afhandelt.
De rsETH die in de brug werd bewaard, waren de reserve-backing-versies op elke laag 2-blockchain, of netwerken die bovenop Ethereum draaien.
Nu die reserve is uitgeput, worden houders van niet-Ethereum-implementaties nu geconfronteerd met de vraag of er iets onder hun tokens zit, wat een feedbacklus creëert waarin paniekaflossingen op L2's het onaangetaste Ethereum-aanbod onder druk zetten, waardoor Kelp mogelijk wordt gedwongen zich terug te trekken en posities in te nemen om opnames te honoreren.
De besmettingslijst is lang en groeit nog steeds.
Aave bevroor de rsETH-markten op V3 en V4 binnen enkele uren, waarbij oprichter Stani Kulechov bevestigde dat de exploit extern was en dat de contracten van Aave niet in gevaar waren gebracht. SparkLend en Fluid bevroor hun rSETH-markten.
AAVE daalde met ongeveer 10% omdat de markt potentiële dubieuze schulden inprijsde.
Lido Finance heeft verdere stortingen in zijn earnETH-product, dat blootstelling aan rsETH met zich meebrengt, stopgezet, terwijl het verduidelijkt dat sETH en wstETH niet worden beïnvloed en dat het kernprotocol van Lido-staking niet bij het incident betrokken is.
Ethena heeft uit voorzorg tijdelijk zijn LayerZero OFT-bridges van het Ethereum-mainnet stopgezet, omdat het geen rsETH-blootstelling heeft en voor meer dan 101% overonderpand heeft. De uitgever van stablecoin zei dat de pauze ongeveer zes uur zou duren, terwijl de oorzaak wordt geïdentificeerd.
Kelp, een product onder de paraplu van KernelDAO, erkende het incident in zijn eerste openbare X-post om 20:10 UTC, bijna drie uur na de afvoer. Het protocol zei dat het onderzoek deed samen met LayerZero, Unichain, zijn auditors en externe beveiligingsspecialisten. Er is niet bekendgemaakt hoe de exploit de validatielogica van de bridge omzeilde.
Of rETH het hele weekend stand houdt, hangt af van hoeveel van de cross-chain float probeert in te wisselen voor ETH op Ethereum en of Kelp een deel van het gestolen geld kan terugkrijgen voordat het Tornado Cash-spoor koud wordt.
De hack belandt in een ongewoon vijandig traject voor DeFi. Op Solana gebaseerd perpetuals-protocol Drift verloor op 1 april ongeveer 285 miljoen dollar in een aanval die later in verband werd gebracht met aan Noord-Korea gelieerde actoren, en in de weken daarna zijn minstens een dozijn kleinere protocollen uitgebuit, waaronder CoW Swap, Zerion, Rhea Finance en Silo Finance.
Het verlies van Kelp van $ 292 miljoen is nu de grootste DeFi-exploit van 2026 en haalt Drift met een paar miljoen dollar in.