De DeFi-markten werden op 18 april 2026 geschokt toen een aanvaller 116.500 rsETH wegplukte uit een LayerZero-bridge die werd beheerd door Kelp DAO. Die hoeveelheid vertegenwoordigde ongeveer $292 miljoen en riep onmiddellijk vragen op over de onderliggende waarde van beursgenoteerde restaked tokens.
Binnen uren zagen we paniek op diverse protocollen: markten werden gepauzeerd, AAVE zag de total value locked (TVL) scherp dalen en depositohouders probeerden massaal hun posities te beschermen. De aanval richtte zich niet op AAVE’s eigen smart contracts, maar de gevolgen kwamen desondanks keihard aan.
De eerste uren na de drain toonden hoe kwetsbaar een ecosysteem met veel cross-chain exposure kan zijn. De gestolen rsETH reserve ondersteunde wrapped versies van het token op meer dan 20 netwerken, waardoor de aanval een brede impact had.
Op korte termijn leidde dit tot een zogenaamde bank run-stijl uitstroom: beleggers probeerden posities te ontbinden op L2-netwerken en Ethereum zelf, wat de druk op prijzen en liquiditeit verder opvoerde. Protocollen moesten noodstops activeren en teams onderzochten in real time of er herstelmogelijkheden bestonden.
Indice dei contenuti:
Wat gebeurde er tijdens de exploit?
De essentie van de aanval was een manipulatie van de cross-chain boodschaplaag van LayerZero. Door een geënsceneerd bericht te laten lijken alsof het afkomstig was van een vertrouwde bron, dwong de aanvaller de bridge om 116.500 rsETH vrij te geven naar een kwaadwillend adres.
Die bridge fungeerde als reserve voor wrapped rsETH op tientallen andere chains, waardoor de impact niet beperkt bleef tot één netwerk. Kort na de eerste drain mislukten twee follow-up pogingen om nog eens ongeveer 40.000 rsETH te onttrekken, wat de ernst en herhaalde aard van de aanval onderstreepte.
Mechaniek en technische details
Technisch gezien maakte de exploit gebruik van zwakheden in de validatie van cross-chain packets op de LayerZero-implementatie van Kelp. De bridge hield de onderliggende rsETH-reserve die als backing fungeerde voor OFT-wrapped tokens op Base, Arbitrum, Linea, Blast, Mantle, Scroll en andere netwerken. Zodra die reserve was aangetast, moest iedere chain die op de reserve vertrouwde zich afvragen of de lokale wrapped tokens nog wel onderpand hadden — een klassieke vertrouwensbreuk in multi-chain liquiditeitsopstellingen.
Impact op AAVE en de bredere liquiditeit
Hoewel AAVE’s smart contracts niet werden gehackt, gingen de markten binnen het protocol snel in paniek. Gebruikers staken gestolen rsETH als onderpand op AAVE V3 om wrapped ether te lenen, wat volgens on-chain analyses ongeveer $196 miljoen aan Aave-specifieke bad debt veroorzaakte; totaal posities rond $236 miljoen over meerdere protocollen. DefiLlama rapporteerde dat AAVE ongeveer $6,6 miljard aan TVL verloor — van $26,4 miljard naar bijna $20 miljard — terwijl de AAVE-token ongeveer 16% in waarde kelderde. Dit illustreert hoe een externe exploit op een bridge direct kan doorwerken in liquiditeitsklemmen bij een toonaangevend leenprotocol.
Spontane reacties en protocolpauzes
De reactie van het ecosysteem was snel: AAVE pauzeerde rsETH-markten op V3 en V4; SparkLend, Fluid en Upshift volgden met soortgelijke maatregelen. Lido stopte tijdelijk nieuwe deposits in earnETH wegens blootstelling aan rsETH, terwijl Ethena zijn OFT-bridges van de mainnet pauzeerde als voorzorgsmaatregel. Kelp, LayerZero en externe auditors startten onderzoeken en probeerden te achterhalen hoe de validatie was omzeild. Ondertussen resteert de onzekerheid rond het al dan niet terugvorderbaar zijn van gestolen fondsen en of on-chain forensische sporen nog bruikbaar zijn voordat mixers het spoor verwarren.
Wat betekent dit voor de toekomst van DeFi?
De gebeurtenis brengt structurele vragen naar voren over het accepteren van liquid restaking-tokens als breed geaccepteerd onderpand. Risicomodellen van veel leenprotocollen gingen uit van pegstabiliteit en continuïteit van backing, niet van een scenario waarin de backing op een externe bridge op slot gaat of tot nul wordt gereduceerd. Toekomstige stappen zullen waarschijnlijk bestaan uit strengere due diligence op cross-chain reserves, hogere overcollateralisatie, en mogelijk opzet van noodfondsen of kapitaalinjecties om prelevingen te ondersteunen. Governance van protocollen moet nu beslissen of en hoe verliezen gedragen worden, waaronder de rol van reserves zoals AAVE’s Umbrella.
Terwijl onderzoeken lopen en teams herstellen, blijft de zaak een belangrijke stresstest voor DeFi-infrastructuur. De exploit toont aan dat innovatie in multi-chain producten samengaat met nieuwe operationele risico’s. Voor beleggers en protocollen is de les helder: focus op robuuste validatie, beperk concentraties van risico en bouw mechanismen die grote, externe schokken kunnen absorberen zonder het volledige systeem lam te leggen.