Kelp DAO saccheggiata per 292 milioni di dollari

Un ponte cross-chain che deteneva quasi un quinto dell’offerta circolante di un token di ether “restaked” è stato svuotato, generando ripercussioni immediate nel mondo DeFi più rapide di quanto il protocollo potesse reagire.

Dettagli dell’attacco a Kelp DAO

Nel corso del fine settimana un attaccante ha sottratto 116.500 rsETH dal ponte di Kelp DAO basato su LayerZero, un trasferimento che valeva circa 292 milioni di dollari ai prezzi correnti e che corrisponde a circa il 18% dell’offerta circolante di rsETH stimata in 630.000 token.

LayerZero è un livello di messaggistica cross-chain che consente a catene diverse di scambiarsi istruzioni verificate; Kelp DAO è un protocollo di liquid restaking che instrada ETH verso EigenLayer per ottenere rendimento aggiuntivo e emette rsETH come ricevuta negoziabile. Il ponte compromesso manteneva le riserve che garantivano le versioni “wrapped” di rsETH distribuite su oltre venti blockchain.

L’attacco è avvenuto contraffacendo un messaggio di trasferimento sulla infrastruttura di messaggistica cross-chain: il sistema ha ritenuto valida l’istruzione ricevuta da un’altra rete e ha autorizzato il rilascio di 116.500 rsETH verso un indirizzo controllato dall’attaccante, pur non essendo stati effettivamente prelevati token dalla catena mittente.

Reazione del protocollo e misure d’emergenza

Il multisig con funzione di “pauser” del protocollo ha congelato i contratti core 46 minuti dopo il furto, ma non abbastanza in fretta da prevenire altri tentativi successivi che hanno cercato di sfruttare pacchetti LayerZero simili, ciascuno volto a prelevare ulteriori circa 40.000 rsETH.

Impatto su Aave e rischio di debito inesigibile

Invece di liquidare immediatamente i token sottratti sul mercato, l’attaccante ha depositato 89.567 rsETH come collaterale su Aave e ha preso in prestito l’equivalente di circa 190 milioni di dollari in ETH e asset correlati su Ethereum e Arbitrum. Ciò ha esposto Aave a collaterale la cui copertura è potenzialmente compromessa.

Nel giro di poche ore Aave Labs ha reagito congelando i mercati rsETH sulle proprie deployment, azzerando i rapporti loan-to-value e bloccando nuovi prestiti collateralizzati con rsETH. L’entità del danno dipenderà da come Kelp DAO gestirà il deficit: se la perdita venisse distribuita su tutti i detentori di rsETH si stima una deprezzazione intorno al 15% e circa 124 milioni di dollari di debito inesigibile per Aave; se invece la perdita rimanesse concentrata su alcune Layer 2, l’impatto potrebbe salire fino a circa 230 milioni, con effetti concentrati su reti come Arbitrum e Mantle.

Un modus operandi che suggerisce attività organizzata

L’attacco a Kelp DAO segue di poche settimane un’altra intrusione in una piattaforma di trading e, insieme, i due episodi suggeriscono un’evoluzione nelle tecniche impiegate da attori legati alla Corea del Nord: non tanto attacchi che forzano crittografie o chiavi, quanto manipolazioni dei dati e delle assunzioni su cui si fondano i sistemi decentralizzati.

Alexander Urbelis said:

“Non è una serie di incidenti; è una cadenza. Non ci si può salvare soltanto con patch rispetto a un calendario di approvvigionamento.”

Azioni sulle risorse rubate e congelamento

Una parte significativa dei fondi sottratti non è più utilizzabile dall’attaccante: il Security Council di Arbitrum ha congelato 30.766 ETH (circa 71 milioni di dollari) trasferendoli in un wallet intermedio accessibile soltanto tramite ulteriori azioni di governance della rete, dopo aver agito in base alle indicazioni fornite dalle forze dell’ordine.

Arbitrum Security Council said:

“Abbiamo eseguito il congelamento senza impattare alcun utente o applicazione di Arbitrum.”

Percezione del mercato e possibili soluzioni mutualistiche

Su mercati predittivi è stata valutata bassa la probabilità che Kelp DAO “socializzi” le perdite redistribuendole a tutti i detentori di rsETH, inclusi quelli sulla mainnet di Ethereum. La decisione di mutualizzare una perdita ricorda precedenti storici in cui scelte simili furono impiegate per preservare la continuità operativa di un exchange.

Rischio quantistico: il rapporto commissionato da Coinbase

Parallelamente agli eventi di sicurezza, un report commissionato da Coinbase avverte che, sebbene le blockchain odierne siano al momento sicure, la prospettiva di un futuro computer quantistico tollerante agli errori in grado di compromettere la crittografia è sempre più plausibile e richiede preparazione anticipata.

Il documento, redatto da un board indipendente che include noti crittografi e ricercatori, sottolinea che la rottura delle firme digitali usate nelle principali reti richiederebbe risorse di calcolo enormi e non è imminente, ma invita l’ecosistema a pianificare contromisure quali firme post-quantistiche e wallet resistenti a potenziali futuri attacchi.

Contenziosi e sviluppo regolamentare

In ambito legale, il creatore di Tron ha avviato una causa contro World Liberty Financial, contestando il blocco delle sue partecipazioni e denunciando presunte pratiche fraudolente e diffamatorie. La querela sostiene che i token siano stati acquisiti dopo sollecitazioni del progetto e che sia stato attuato “uno schema illegale per sequestrare proprietà”.

La causa afferma:

“in uno schema illegale per sequestrare proprietà”

Sul fronte normativo, l’iter di una proposta di legge statunitense che mira a chiarire la disciplina dei mercati crypto e delle stablecoin procede con difficoltà: l’approvazione in commissione al Senato potrebbe ancora mantenere viva la prospettiva di un voto finale entro l’estate, ma dipenderà anche da negoziazioni su temi sensibili come i rendimenti collegati alle stablecoin e le tutele per la finanza decentralizzata.

Eventi e calendario del settore

Nel corso del 2026 sono previsti importanti appuntamenti del settore che rappresentano opportunità per confrontarsi su sicurezza, interoperabilità e sviluppo tecnologico: Consensus (Miami, maggio), Proof of Talk (Parigi, giugno), ETHConf (New York, giugno), Korea Blockchain Week (Seoul, settembre), Token2049 (Singapore, ottobre), Devcon (Mumbai, novembre) e il meeting di Solana (London, novembre).

Considerazioni finali

L’incidente mette in luce la vulnerabilità intrinseca delle architetture cross-chain basate su messaggistica esterna e la possibilità che attacchi mirati sfruttino fiducia e assunzioni progettuali piuttosto che difetti crittografici tradizionali. La combinazione di strumenti legali, azioni di governance delle reti e risposte tecniche dei protocolli sarà determinante per limitare contagio e ricadute sui mercati.

In sintesi

• Gli attacchi che manipolano flussi di dati cross-chain evidenziano la necessità per gli investitori di valutare non solo il codice smart contract, ma anche i meccanismi di messaggistica e le controparte operative che li supportano.
• Per le piattaforme di lending come Aave, la concentrazione di collaterale legato a ponte compromessi espone a rischi sistemici: politiche di gestione del rischio e limiti di esposizione per asset cross-chain diventano cruciali per preservare la stabilità del mercato.
• Le azioni di governance e i congelamenti coordinati possono recuperare parte dei fondi, ma introducono incertezza normativa e operative che potrebbero aumentare i costi di compliance e incentivare approcci più conservativi da parte degli asset manager istituzionali italiani.