$292M rsETH-exploit onthult cross-chain risico’s, leidt tot Kelp-afsluiting en Aave-marktbevriezing vanwege zorgen over wanbetaling.
Een grote beveiligingsinbreuk heeft Kelp DAO getroffen, waardoor het protocol na een grootschalige cross-chain exploit uit balans is gebracht. Vroeg op zaterdag heeft een aanvaller een aanzienlijk deel van het rsETH-aanbod afgetapt via een vermoedelijke LayerZero-kwetsbaarheid. On-chain data wijst op een zorgvuldig voorbereide operatie waarbij verduisteringsinstrumenten en gerichte contractaanroepen werden gebruikt. Marktreacties volgden snel, met een domino-effect op gerelateerde DeFi-platforms.
Kelp DAO bevriest protocol na poging tot $292M cross-chain exploit
Aanvallers hebben ongeveer 116.500 rsETH weggezogen, met een waarde van bijna $292 miljoen tegen de huidige prijzen. Blockchain-gegevens tonen aan dat het aftappen plaatsvond om 17:35 UTC via een aanroep van de “lzReceive”-functie op LayerZero’s EndpointV2-contract. Die aanroep activeerde het bridge-systeem van Kelp om fondsen direct naar een door de aanvaller gecontroleerd adres over te maken.
De financiering van de exploit gaat ongeveer 10 uur terug. De aanvaller gebruikte Tornado Cash’s 1-ETH pool, een methode die vaak wordt geassocieerd met transactieverduistering. Kort na de inbraek merkte blockchain-onderzoeker ZachXBT het incident op en schatte de verliezen op meer dan $280 miljoen over Ethereum en Arbitrum.
Kelp DAO reageerde binnen een uur, waarbij zijn nood-multisig een “pauseAll”-functie uitvoerde op cruciale contracten. Systemen die werden getroffen waren onder meer de LRT Deposit Pool, de opnamemodule, de oracle en het rsETH-token zelf. Die actie stopte verdere schade en voorkwam extra opnames.
Twee vervolgpogingen van de aanvaller mislukten. Transacties om 18:26 en 18:28 UTC probeerden nog eens 40.000 rsETH af te tappen, met een waarde van ongeveer $100 miljoen. Beiden werden afgewezen vanwege de gepauzeerde staat van het protocol. Zonder die interventie hadden de totale verliezen kunnen oplopen tot bijna $391 miljoen.
Earlier today we identified suspicious cross-chain activity involving rsETH. We have paused rsETH contracts across mainnet and several L2s while we investigate.
We are working with @LayerZero_Core, @unichain, our auditors and top security experts on RCA.
We will keep you…
— Kelp (@KelpDAO) April 18, 2026
Kelp bevestigde later “verdachte cross-chain activiteit” in een openbare verklaring die om 20:10 UTC werd gepost. Het team zei dat het contracten op het mainnet en meerdere Layer 2-netwerken had gepauzeerd tijdens het onderzoek. Er wordt samengewerkt met LayerZero, Unichain, auditors en externe beveiligingsspecialisten.
Aave bevriest rsETH-markten nadat Kelp Bridge-exploit angst voor wanbetaling veroorzaakt
De focus is verschoven naar Kelp’s Omnichain Fungible Token bridge. Dat systeem maakt rsETH-overdrachten tussen netwerken mogelijk en lijkt centraal te staan in het exploit-pad. Het gestolen bedrag vertegenwoordigt ongeveer 18% van het circulerende aanbod van rsETH, geschat op 630.000 tokens. De asset opereert op meer dan 20 netwerken, waaronder Arbitrum, Base en Scroll.
De schokgolven verspreidden zich naar andere protocollen, vooral leenmarkten. AAVE daalde met ongeveer 10% na berichten dat het platform mogelijk blootstond aan wanbetaling gekoppeld aan rsETH-posities. In reactie daarop bevroor Aave de rsETH-markten op zowel V3- als V4-implementaties.
The rsETH markets on Aave V3 and Aave V4 have been frozen. Aave's contracts have not been exploited and this is an exploit related to rsETH.
The freeze follows an exploit of the Kelp DAO rsETH bridge. Freezing the rsETH markets prevents new deposits and borrowing against rsETH…
— Aave (@aave) April 18, 2026
Aave verduidelijkte dat zijn slimme contracten niet waren gecompromitteerd. In plaats daarvan komt het probleem van rsETH zelf. Het team beoordeelt nu de leenactiviteit die aan de exploit is gekoppeld. Eerste verklaringen verwezen naar mogelijk gebruik van de Umbrella-veiligheidsmodule, hoewel latere updates die houding afzwakten. Aave zegt nu dat het opties zal bekijken als er daadwerkelijke verliezen ontstaan.
Herhaling van incident verhoogt alarm over Kelp DAO’s beveiliging en cross-chain risico’s
Het incident van zaterdag is de tweede grote verstoring bij Kelp DAO binnen een jaar. In april 2025 veroorzaakte een bug in zijn fee-contract een overmatige aanmaak van rsETH. Dat leidde tot een tijdelijke pauze maar resulteerde niet in verlies van gebruikersfondsen.
Onder de huidige omstandigheden handelt rsETH rond $2.500, wat de onzekerheid over de stabiliteit van het protocol weerspiegelt. Kelp DAO en mede-oprichter Amitej Gajjala hebben nog geen verdere details verstrekt buiten de eerste verklaringen om.
De aandacht verschuift nu naar de analyse van de oorzaak en mogelijke herstelpaden. De omvang van de exploit roept bredere zorgen op over de beveiliging van cross-chain bridges. Terwijl het onderzoek voortduurt, staan zowel gebruikers als protocollen die aan rsETH zijn gelinkt bloot aan een hoger risico en aanhoudende onzekerheid.
Geef een reactie