La più grande rapina DeFi del 2026, gli hacker hanno facilmente sfruttato Aave

Autore: Xiao Bing, Shenchao TechFlow

La sera del 18 aprile alle 17:35 (UTC), un portafoglio che aveva riciclato denaro tramite Tornado Cash ha inviato un messaggio cross-chain al contratto LayerZero EndpointV2.

Il messaggio aveva un significato semplice: un utente di una determinata blockchain voleva trasferire rsETH sulla rete principale di Ethereum. LayerZero ha trasmesso fedelmente le istruzioni secondo il protocollo previsto. Il contratto di bridging implementato da Kelp DAO sulla rete principale ha eseguito la release fedelmente come previsto.

116.500 rsETH, per un valore di circa 292 milioni di dollari all'epoca, sono stati trasferiti in un'unica transazione a un indirizzo controllato dall'attaccante.

Il problema è che nessuno sull'altra blockchain aveva mai depositato questi rsETH. Questa "richiesta cross-chain" è stata inventata di sana pianta; LayerZero ci ha creduto, e anche il bridge di Kelp ci ha creduto.

Quarantasei minuti dopo, la firma multipla di emergenza di Kelp ha finalmente premuto il pulsante di pausa. A questo punto, l'attaccante aveva già completato la seconda parte dell'azione, utilizzando gli rsETH rubati, essenzialmente non garantiti, come garanzia in Aave V3, prendendo in prestito wETH per un valore di circa 236 milioni di dollari.

Si tratta del più grande furto nel settore DeFi del 2026 finora, che supera di diversi milioni di dollari il protocollo Drift, attaccato da hacker nordcoreani il 1° aprile, ma ciò che davvero fa rabbrividire il settore non è solo l'importo.

Come è avvenuto l'attacco: Tre scommesse dalle 17:35 alle 18:28

Ripristiniamo la cronologia.

17:35 UTC, il primo successo. L'attaccante ha richiamato la funzione lzReceive sul contratto LayerZero EndpointV2 e un portafoglio finanziato con Tornado Cash ha inviato un pacchetto di dati cross-chain falsificato al contratto di bridging di Kelp. La verifica del contratto è andata a buon fine e 116.500 rsETH sono stati rilasciati all'indirizzo dell'attaccante. Una singola transazione. Pulito.

Alle 18:21 UTC, la funzione di pausa di emergenza multi-firma di Kelp ha bloccato i contratti principali di rsETH sulla rete principale e su diversi livelli L2. 46 minuti dopo l'attacco.

Alle 18:26 e alle 18:28 UTC, l'attaccante ha avviato altri due tentativi, cercando ogni volta di prelevare 40.000 rsETH (circa 10 milioni di dollari) con un pacchetto di dati LayerZero. Entrambi i contratti sono stati annullati; il contratto era già stato congelato, ma l'attaccante stava chiaramente ancora cercando di sottrarre la liquidità rimanente.

Dal primo successo alla dichiarazione pubblica di Kelp, sono trascorse quasi tre ore.

Il primo messaggio di Kelp su X è stato inviato solo alle 20:10 UTC e il testo era molto cauto: era stata rilevata un'attività cross-chain sospetta che coinvolgeva rsETH, i contratti rsETH sulla mainnet e su diverse blockchain di livello 2 erano stati sospesi e stavano collaborando con LayerZero, Unichain, revisori dei conti ed esperti di sicurezza esterni per l'analisi delle cause principali.

Tuttavia, prima della dichiarazione ufficiale, ZachXBT, un investigatore on-chain, ha lanciato l'allarme sul suo canale Telegram prima delle 15:00 ora della costa orientale degli Stati Uniti, elencando sei indirizzi di wallet collegati al furto e sottolineando che il wallet utilizzato per l'attacco aveva preparato i fondi tramite Tornado Cash prima di iniziare le sue azioni. Non ha nominato esplicitamente Kelp DAO, ma gli analisti on-chain hanno collegato gli indirizzi in poche ore.

Si è trattato di un'operazione **premeditata** eseguita