Op 18 april 2026 heeft het liquid restaking-protocol van KelpDAO de grootste DeFi-exploit van het jaar meegemaakt nadat aanvallers ongeveer 116.500 rsETH ter waarde van 292 miljoen dollar uit de op LayerZero-gebaseerde brug hadden gehaald. LayerZero Labs wijdde de aanval aan Noord-Korea’s Lazarus Group-subgroep “TraderTraitor” en identificeerde de enkel-verifier-brugconfiguratie van KelpDAO als de oorzaak, waardoor gecompromitteerde RPC-knooppunten geldige cross-chain-berichten konden vervalsen.

De aanvaller financierde wallets via Tornado Cash ongeveer tien uur voor uitvoering voor en maakte vervolgens misbruik van de verifier-setup om ongeautoriseerde vrijgaven van fondsen te forceren. Het onderzoek van LayerZero toonde aan dat twee van de drie knooppunten in zijn gedecentraliseerde verifier-netwerk (DVN) vergiftigd waren, waardoor een failover naar gecompromitteerde knooppunten ontstond. Een goed beveiligde multi-verifier-configuratie zou consensus tussen onafhankelijke DVN's vereisten, waardoor de exploit voorkomen zou zijn. LayerZero heeft sindsdien geweigerd om nog berichten te tekenen voor 1-op-1 DVN-configuraties.

Na de hack werd de gestolen rsETH als onderpand op Aave V3 gestort, wat meer dan 236 miljoen dollar aan slechte schuld opleverde, geconcentreerd in het rsETH-WETH-paar. De Umbrella-reserve van Aave werd geactiveerd om tekorten te dekken, en marktbevriezingen werden opgelegd voor leningsplatforms waaronder SparkLend, Fluid, Lido Finance en Ethena. De TVL van Aave daalde met 6,6 miljard dollar, van 26,4 miljard dollar naar bijna 20 miljard dollar, wat de systemische impact van interoperabiliteits-exploits onderstreept.

Tron-oprichter Justin Sun, blootgesteld aan Aave-posities, trok ongeveer 65.584 ETH ($154 miljoen) terug om persoonlijke verliezen te beperken voordat hij via X rechtstreeks een beroep deed op de hacker voor onderhandelingen. Sun waarschuwde dat voortgezet gebrek aan medewerking zowel KelpDAO als Aave tot ondergang kan brengen en riep op tot terugkeer van gestolen fondsen om DeFi-stabiliteit te bewaren. Industrieleiders benadrukten strengere brugbeveiligingsnormen en het gebruik van redundante configuraties om staatsactoren tegen te gaan.

Het incident heeft de roep naar rigoureuze integratie-audits, realtime monitoring en gedecentraliseerde validatie-frameworks om cross-chain-infrastructuur te beveiligen, nieuw leven ingeblazen. Met de totale hack-verliezen in april die nu meer dan 606 miljoen dollar bedragen, zijn protocolteams en beveiligingsfirma's gehaast om defensieve maatregelen te implementeren voorafgaand aan verdere hoogprofiel-exploits.