Kelp DAO svaligiata per 292 milioni di dollari: wrapped Ether bloccato su 20 reti

Un bridge cross-chain che deteneva quasi un quinto dell’offerta circolante di rsETH è stato svuotato, scatenando una crisi che si propaga rapidamente attraverso l’ecosistema DeFi e mettendo in difficoltà le controparti che dipendono da riserve distribuite su più catene.

L’attaccante ha prelevato circa 116.500 rsETH, un controvalore approssimativo di 292 milioni di dollari ai prezzi correnti, pari a circa il 18% di un’offerta circolante stimata in 630.000 token. L’evento ha riguardato il bridge gestito da Kelp DAO e basato sull’infrastruttura di messaggistica cross-chain di LayerZero.

Meccanica dell’attacco

LayerZero è un livello di messaggistica cross-chain che consente a catene diverse di scambiarsi istruzioni verificate. Kelp DAO opera come protocollo di restaking liquido: raccoglie ETH dagli utenti, instrada i depositi tramite EigenLayer per generare rendimento aggiuntivo rispetto allo staking tradizionale su Ethereum e emette rsETH come ricevuta negoziabile.

Nel caso specifico, il bridge conteneva la riserva che garantiva le versioni wrapped di rsETH distribuite su oltre venti reti diverse. L’attaccante ha indotto il livello di messaggistica cross-chain a considerare valida un’istruzione proveniente da un’altra rete, con conseguente rilascio di 116.500 rsETH verso un indirizzo controllato dall’aggressore.

La multisig di emergenza incaricata delle sospensioni ha bloccato i contratti principali del protocollo dopo il furto, ma tentativi successivi di nuovo sfruttamento hanno cercato di inviare ulteriori pacchetti LayerZero per svuotare altri 40.000 rsETH, senza però andare a buon fine.

Effetti sulla liquidità cross-chain

Le versioni wrapped di rsETH erano operative su numerose soluzioni layer 2 e altre reti di secondo livello, tra cui Base, Arbitrum, Linea, Blast, Mantle e Scroll, con lo spostamento intercatena gestito dallo standard OFT di LayerZero.

Con la riserva del bridge svuotata, gli utenti che detengono rsETH su deploy non-Ethereum si trovano di fronte all’incertezza sulla solidità sottostante dei loro token. Questo può innescare riscatti a catena sulle reti secondarie, esercitando pressione sulla quantità di rsETH ancora disponibile su Ethereum e costringendo Kelp DAO a disfare posizioni di restaking per soddisfare i prelievi.

Reazioni dei protocolli e movimenti di mercato

Più progetti hanno reagito congelando mercati o sospendendo depositi per limitare la contaminazione: Aave ha bloccato i mercati rsETH su V3 e V4, mentre SparkLend e Fluid hanno adottato misure analoghe. Il fondatore di Aave, Stani Kulechov, ha sottolineato che l’exploit è di natura esterna e che i contratti di Aave non risultano compromessi.

Lido ha temporaneamente sospeso i depositi nel prodotto earnETH, che espone indirectamente a rsETH, precisando tuttavia che stETH e wstETH non sono coinvolti e che il protocollo core di staking di Lido non è parte dell’incidente.

Athena ha messo in pausa i bridge OFT provenienti dalla mainnet di Ethereum come misura precauzionale, affermando di non avere esposizione a rsETH e di mantenere una copertura superiore al 101%.

Il mercato ha immediatamente scontato il rischio: il token AAVE ha registrato una flessione significativa mentre gli operatori prezzavano la possibile comparsa di posizioni deteriorate nel sistema.

Indagine e possibilità di recupero

Kelp DAO, prodotto sotto l’ombrello di KernelDAO, ha confermato pubblicamente l’incidente e ha annunciato indagini con il supporto di LayerZero, Unichain, revisori e specialisti di sicurezza esterni. Al momento non è stata resa nota la tecnica precisa con cui la logica di validazione del bridge è stata elusa.

Una variabile critica è la finestra temporale utile per recuperare fondi prima che il tracciamento delle transazioni si perda in mixer o servizi di offuscamento come Tornado Cash. Se una porzione significativa del float cross-chain tenterà il rimborso su Ethereum, la pressione sulla riserva rimasta potrebbe compromettere la parità del peg di rsETH.

Contesto più ampio degli attacchi DeFi

L’episodio si inserisce in un periodo particolarmente difficile per la finanza decentralizzata: recentemente il protocollo di perpetuals Drift basato su Solana aveva subito un prelievo di centinaia di milioni di dollari, episodio poi collegato ad attori con sospette affiliazioni estere, e numerosi progetti minori hanno registrato vulnerabilità sfruttate nelle ultime settimane.

Tra i progetti colpiti o coinvolti in problemi di sicurezza figurano CoW Swap, Zerion, Rhea Finance e Silo Finance. L’entità della perdita subita da Kelp DAO la pone al vertice degli exploit del settore per l’anno corrente, superando casi recenti per dimensione del danno finanziario.

Prospettive e rischi per gli utenti

Per gli utenti e i fornitori di liquidità la priorità consiste ora nel valutare l’esposizione indiretta a rsETH nei prodotti strutturati e nell’aggiornare i controlli di rischio operativi. Gli operatori che offrono token wrapped su più reti devono rivedere i meccanismi di garanzia e i processi di validazione delle istruzioni cross-chain.

Sul piano regolamentare e istituzionale, questa ondata di attacchi potrebbe accelerare le richieste di maggiore supervisione tecnica e di standard di sicurezza obbligatori per i bridge, soprattutto in giurisdizioni che stanno valutando regole specifiche per asset digitali e stablecoin.

Infine, la capacità di un progetto di comunicare chiaramente lo stato delle riserve, le azioni intraprese e i piani di rimborso sarà fondamentale per limitare il contagio e preservare la fiducia degli investitori retail e istituzionali.

In sintesi

• La vulnerabilità dei bridge cross-chain aumenta il premio per il rischio negli asset DeFi: investitori italiani dovrebbero rivalutare l’esposizione a prodotti che dipendono da riserve distribuite su più catene.
• I grandi exploit spingono verso una maggiore domanda di soluzioni di custodia e audit certificati; questo può favorire servizi professionali e infrastrutture on-chain con controlli di sicurezza più rigorosi.
• La rapidità del contagio evidenzia il rischio di liquidità sistemica nelle strategie di restaking; gestori patrimoniali e piattaforme di lending dovranno adeguare limiti di concentrazione e stress test.
• Un aumento della pressione regolatoria in Europa è probabile: per gli investitori italiani, ciò si tradurrà in una maggiore trasparenza richiesta alle piattaforme e potenzialmente in costi operativi aggiuntivi che possono influenzare i rendimenti netti.