Kelp hackerato: perdite a 293 milioni di dollari e ripercussioni su altri protocolli

Il protocollo di restaking liquido Kelp è stato colpito da un attacco informatico sabato, costringendo la piattaforma a sospendere i contratti intelligenti legati al token di restaking rsETH mentre procede con le indagini sulla violazione.

Kelp ha dichiarato:

“Earlier today, we identified suspicious cross-chain activity involving rsETH. We have paused rsETH contracts across mainnet and several Layer-2s.”

L’attaccante ha sfruttato una vulnerabilità nel contratto dell’adapter bridge per rsETH, il componente software che gestisce il token su più catene, riuscendo a sottrarre fondi per un valore stimato di circa 293 milioni di dollari, secondo la società di sicurezza blockchain Cyvers.

Stando alle analisi fornite da Cyvers, l’indirizzo impiegato per muovere i fondi rubati era finanziato tramite il mixer crittografico Tornado Cash, e una porzione rilevante del bottino — approssimativamente 250 milioni di dollari — è stata convertita in Ether (ETH), la criptovaluta nativa della rete Ethereum layer‑1.

In risposta all’incidente, il protocollo di finanza decentralizzata Aave ha bloccato i mercati collegati a rsETH su Aave V3 e V4. Altre piattaforme con esposizione al token hanno temporaneamente sospeso le attività per limitare ulteriori perdite; secondo le stime preliminari, almeno nove protocolli sono risultati esposti.

Deddy Lavid, amministratore delegato di Cyvers, ha commentato:

“Questo è esattamente il tipo di incidente che mette in evidenza i rischi legati alla composabilità nella DeFi.”

Il contesto degli attacchi recenti

L’episodio contro Kelp si inserisce in una serie di attacchi informatici mirati a piattaforme crittografiche e protocolli DeFi verificatisi negli ultimi mesi. Le perdite complessive legate a frodi, exploit e hack hanno raggiunto livelli significativi in più trimestri, alimentando preoccupazioni su sicurezza, governance e responsabilità degli attori del settore.

Gli attacchi di questo tipo sfruttano spesso l’interconnessione tra contratti e ponti cross‑chain: la capacità di combinare servizi diversi (composabilità) aumenta l’innovazione ma amplifica anche la superficie d’attacco quando un componente viene compromesso.

Il caso del Drift Protocol

In aprile un altro exploit ha colpito il Drift Protocol, con perdite stimate intorno ai 280 milioni di dollari. Secondo quanto riportato dal team del protocollo, l’attacco sarebbe stato preparato per mesi e avrebbe coinvolto attività di infiltrazione e compromissione degli ambienti di sviluppo.

Il team del Drift Protocol ha dichiarato:

“L’attacco ha richiesto mesi di preparazione deliberata, durante i quali alcuni membri del team sono stati contattati e avvicinati dai soggetti responsabili.”

Nel post‑mortem del Drift Protocol si segnala che gli attaccanti avrebbero incontrato membri del progetto in occasione di una conferenza rilevante nel settore, instaurando una collaborazione che poi ha portato all’introduzione di malware su macchine di sviluppo e al compromettere della piattaforma.

Implicazioni per investitori e mercato

Questi eventi sollevano questioni concrete per chi investe in asset digitali e per gli operatori istituzionali che stanno valutando l’ingresso nel comparto. La frequenza e la dimensione degli exploit rendono prioritaria l’adozione di standard di sicurezza più stringenti, audit indipendenti e pratiche di gestione del rischio operazionale.

Per gli investitori retail e professionali in Italia, l’aumento della centralità di smart contract composabili implica che l’esposizione a un singolo prodotto può tradursi rapidamente in rischi sistemici su portafogli più ampi: diversificazione, verifica delle misure di sicurezza e monitoraggio continuo diventano quindi criteri essenziali nella due diligence.

Dal punto di vista regolamentare, episodi ripetuti potrebbero accelerare l’intervento delle autorità finanziarie a livello nazionale ed europeo, spingendo verso requisiti più rigorosi su governance, trasparenza e responsabilità degli operatori crypto e DeFi.

Misure di risposta e mitigazione

Le risposte immediate alle violazioni includono la sospensione dei contratti, il congelamento di mercati e la collaborazione con società di sicurezza blockchain per tracciare i flussi di capitale. Tuttavia, il recupero dei fondi rimane spesso complesso quando vengono impiegati strumenti di offuscamento come i mixer.

Sul lungo periodo, la comunità e gli operatori di mercato stanno esplorando soluzioni tecniche e assicurative: per esempio controlli formali del codice, pratiche di conferma multi‑parte per aggiornamenti critici, e prodotti assicurativi che possano trasferire parte del rischio operativo fuori dalla sfera diretta dell’investitore.

Prossimi sviluppi attesi

Nei giorni successivi a un attacco i focus principali sono la liquidità rimanente, l’identificazione dei responsabili e l’eventuale coordinamento con le forze dell’ordine e specialisti tecnici per tentare di recuperare fondi o quantomeno tracciare i movimenti sui mercati secondari.

Gli operatori e gli investitori dovranno seguire aggiornamenti tecnici e legali relativi ai casi, oltre a rivalutare le esposizioni e le contromisure, incluse revisioni contrattuali e limiti operativi su prodotti che integrano più servizi e reti.

In sintesi

• Gli eventi recenti sottolineano come la composabilità nella DeFi aumenti il rischio sistemico: un singolo componente vulnerabile può propagare perdite significative attraverso più protocolli.
• Per gli investitori italiani è cruciale integrare controlli di sicurezza e criteri di due diligence più rigorosi, oltre a considerare soluzioni assicurative per mitigare il rischio operativo.
• Le autorità di vigilanza europee e nazionali potrebbero accelerare normative su governance e trasparenza nel settore crypto, con impatti su compliance e costi operativi per i fornitori di servizi.