De DeFi‑gemeenschap werd opgeschrikt door een omvangrijke aanval op Kelp DAO die op 18 april 2026 ontstond en resulteerde in de ongeautoriseerde uitgifte van ongeveer 116.500 rsETH, geschat rond de $292 miljoen. Deze tokens, die bedoeld zijn als vertegenwoordiging van gestake‑ETH, werden zonder reëel onderpand vrijgegeven via een gemanipuleerde cross‑chain boodschap op de LayerZero‑bridge.
Als gevolg zagen meerdere leenmarkten direct blootstelling ontstaan doordat de gestolen rsETH als onderpand werd gebruikt om liquide activa te lenen.
De onmiddellijke gevolgen waren het bevriezen van rsETH‑markten door platforms zoals Aave en een snelle daling van het totale TVL in DeFi. Projecten en partners, waaronder LayerZero en Unichain, werden betrokken bij het onderzoek en Kelp DAO zette noodknoppen om deposits en withdrawals te blokkeren. De snelheid van de incidenten benadrukt de risico’s van cross‑chain bridges en van het vertrouwen in liquid restaking‑tokens binnen money markets.
Indice dei contenuti:
Wat er precies gebeurde
Technische analyses tonen dat de aanvaller een vals bericht naar de LayerZero‑bridge stuurde, waardoor die de transfer goedkeurde zonder dat er echte assets op de andere keten waren verplaatst. Het resultaat was dat rsETH in omloop kwam zonder corresponderende ETH‑reserves. Binnen korte tijd werden die ongedekte tokens naar lendingprotocollen zoals Aave, Compound en Euler gestuurd om WETH en andere liquide activa te lenen. Dit genereerde een opeenhoping van posities die later als bad debt konden blijken wanneer liquidatie onmogelijk werd door het ontbreken van echte onderpanden.
Mechaniek van de aanval
De aanval kwam neer op één gemanipuleerde cross‑chain instructie die de mint/ release‑logica van de bridge omzeilde. In sommige verslagen wordt genoemd dat de initiële transactie binnen 46 minuten substantieel effect sorteerde, waarna twee verdere pogingen werden geblokkeerd door de ontstane pause. De gestolen rsETH werd deels via privacy‑tools verplaatst en vervolgens in money markets gebruikt, waardoor de blootstelling over meerdere chains en protocollen werd verspreid. Dit illustreert waarom bridge‑integriteit en verificatie van cross‑chain messages cruciaal blijven.
Schade en domino‑effect
De geschatte verliesposten variëren per bron, maar duidelijk is dat de exploit ernstige gevolgen had: schattingen noemen ongeveer $292 miljoen aan gestolen waarde en tussen $177 miljoen en meer dan $280 miljoen aan potentiële bad debt op leenplatforms. Volgens real‑time trackers viel het totale TVL van DeFi met ruim $13 miljard, en Aave zag zelf uitstromen in de orde van miljarden dollars. Bovendien daalde de waarde van het AAVE‑token significant na bevestiging van de incidenten.
Impact op leenmarkten
Markten waar rsETH werd geaccepteerd noteerden sterke liquiditeitsstress: WETH‑markten raakten volledig benut, borrow‑utilisaties stegen tot 100% in sommige pools en protocollen zoals SparkLend, Fluid en Upshift bevroren of blokkeerden rsETH‑posities uit voorzorg. Zelfs niet‑direct blootgestelde projecten namen maatregelen; Lido pauzeerde bepaalde producten met rsETH‑exposure. Op chain‑niveau waren ook Solana‑protocollen als Kamino Finance getroffen, met pools die volledig uitgeleend waren.
Mogelijke herstelopties en lessen voor de toekomst
Analisten en ontwikkelaars brengen drie hoofdscenario’s naar voren: 1) socialiseren van verliezen onder alle rsETH‑houders, wat kan neerkomen op een haircut (geschat op ~18,5%) en nog steeds resterende bad debt; 2) Kelp DAO laat rsETH wegzakken en neemt geen garantieregeling, wat zou resulteren in een token‑devaluatie en grote ongedekte verliezen voor lendingprotocollen; 3) het toepassen van een pre‑hack snapshot om posities terug te draaien, een technisch en governance‑complex proces gezien de cross‑chain verspreiding van fondsen. Elk pad heeft financiële en reputatiekosten.
Wat moet er veranderen?
De gebeurtenis benadrukt dringende verbeteringen: sterkere audits, robuustere bridge‑verificaties en meer conservatieve risico‑parameters bij het accepteren van liquid staking tokens als onderpand. Daarnaast is er een oproep tot zorgvuldigheid bij het snel uitrollen van nieuwe protocolcode, zeker wanneer ontwikkelteams gebruikmaken van AI‑hulpmiddelen die onbedoelde kwetsbaarheden kunnen introduceren. De nasleep van de aanval biedt een harde maar noodzakelijke les over de fragiliteit van cross‑protocol afhankelijkheden in DeFi.