Kelp DAO sta affrontando una grave crisi di sicurezza dopo un apparente exploit sul suo ponte cross‑chain rsETH che ha prosciugato circa 116.500 rsETH, per un valore di circa 292 milioni di dollari al momento dell’attacco. Dalle segnalazioni e dai dati on‑chain, l’attaccante sembra aver utilizzato la messaggistica LayerZero per attivare il rilascio di fondi dal sistema di bridge di Kelp DAO. L’incidente si è rapidamente diffuso nei mercati crypto perché rsETH è ampiamente utilizzato nella DeFi, soprattutto come collaterale nelle piattaforme di lending.
Il caso è importante perché rsETH è un token di restaking liquido. Ciò significa che gli utenti depositano asset legati allo staking di Ethereum e ricevono un token che possono muovere, scambiare o utilizzare nella DeFi mantenendo l’esposizione allo staking. Kelp DAO ha creato rsETH per funzionare su molte blockchain, ed è qui che è cresciuto il rischio. Lo standard OFT di LayerZero, o Omnichain Fungible Token, è progettato per spostare un token attraverso molte catene mantenendo un’unica fornitura condivisa. Questo rende più semplice l’uso cross‑chain, ma implica anche che la sicurezza del bridge diventi centrale per la sicurezza del token.
I rapporti indicano che il primo drenaggio riuscito è avvenuto alle 17:35 UTC. Kelp DAO ha poi utilizzato il suo multisig di emergenza circa 46 minuti dopo per congelare i contratti core. Questa pausa sembra aver bloccato due tentativi successivi di drenare altri 40.000 rsETH. Kelp ha dichiarato di aver identificato attività cross‑chain sospette e di stare collaborando con LayerZero, Unichain, revisori e esperti di sicurezza esterni per investigare le cause alla radice. In termini semplici, l’attacco sembra aver colpito la logica del bridge che consente a rsETH di muoversi tra le reti, non un portafoglio normale o un semplice bug del front‑end.
L’attacco ha sollevato preoccupazioni anche perché il portafoglio legato all’exploit sarebbe stato finanziato tramite Tornado Cash prima dell’incidente. Nelle exploit DeFi, questo spesso segnala un tentativo di nascondere la traccia del denaro. L’investigatore blockchain ZachXBT ha segnalato l’attacco poco dopo che è avvenuto, e gli osservatori di mercato hanno iniziato a focalizzarsi su quanta parte dell’offerta di rsETH fosse stata colpita. I rapporti hanno indicato che l’importo rubato rappresentava circa il 18 % di rsETH circolante, una percentuale sufficiente a creare tensione nei mercati di lending, nei feed di prezzo e nei sistemi di rischio.
Ecco perché Aave ha agito rapidamente. Aave ha congelato i mercati rsETH su V3 e V4 e ha affermato che i propri contratti smart non sono stati la fonte dell’exploit. Il problema più grande per Aave è il debito cattivo. Nel lending, il debito cattivo può emergere quando il collaterale perde valore o non può essere liquidato in tempo. La documentazione di Aave nota che il rischio di bridge e di rete può alimentare questo problema. Il suo sistema Umbrella è stato costruito come uno strumento di rischio on‑chain automatizzato destinato a coprire i deficit, anche se Aave ha successivamente ammorbidente il proprio linguaggio pubblico e ha dichiarato che esplorerà modi per compensare eventuali deficit derivanti da questo evento.
Questo non è nemmeno il primo problema di rsETH. Kelp DAO ha avuto un altro incidente nell’aprile 2025, quando ha messo in pausa depositi e prelievi dopo un bug del contratto delle fee che ha causato una eccessiva minting di rsETH. Kelp ha affermato che in quel caso non sono stati persi fondi degli utenti, ma il nuovo exploit è molto più serio perché sembra coinvolgere una perdita diretta di fondi su larga scala. Questa storia è rilevante. Nel mondo crypto, un singolo incidente può essere considerato un errore. Due incidenti in circa un anno sollevano domande più difficili su design, testing e controlli operativi.
La lezione più grande dall’exploit di Kelp DAO è che il rischio nella DeFi non si ferma a un singolo protocollo. Un attacco al bridge può colpire un token, poi diffondersi nei mercati di lending e influenzare utenti che non hanno mai toccato il bridge. Questo è il costo nascosto della composabilità. Sistemi come Kelp DAO, LayerZero e Aave sono costruiti per collegare i mercati crypto, ma connessioni solide possono anche trasmettere rapidamente lo stress quando qualcosa si rompe. Per gli utenti, l’exploit di Kelp DAO è un promemoria che i token di restaking liquidi, i token cross‑chain e i rendimenti DeFi offrono flessibilità, ma aggiungono anche livelli di rischio legati a smart contract, bridge e collaterale, che possono tutti fallire contemporaneamente.
