En angriper lurte KelpDAOs bro mellom blokkjeder til å frigi 116 500 rsETH verdt rundt 292 millioner dollar, brukte tokenene som sikkerhet i Aave og lånte wrapped ether før broen ble frosset. Aave sitter igjen med anslagsvis 200 millioner dollar i dårlig gjeld.
Hendelsen illustrerer hvordan sammensatte DeFi-produkter skaper nye former for smittefare. Aaves kode ble ikke hacket — tapet oppstod fordi protokollens styring hadde akseptert en token utstedt av en helt annen protokoll, avhengig av en bro Aave ikke kontrollerer. Da broen ble utnyttet, forplantet sårbarheten seg direkte til Aaves balanse. For institusjonelle aktører som vurderer eksponering mot DeFi — inkludert nordiske og baltiske aktører som følger området tett — er dette en påminnelse om at risiko i sektoren ikke bare handler om revisjoner av koden, men om hvordan ulike protokoller henger sammen.
Bildet: Aave er etablert og ledes av Stani Kulechov.
KelpDAO driver en bro som flytter tokens mellom ulike blokkjeder og utsteder rsETH — i praksis en digital kvittering på innsatt ether, som gir avkastning både fra ordinær Ethereum-staking og fra EigenLayer, et system der den innsatte etheren gjenbrukes til å sikre andre protokoller. Broen er bygget oppå infrastruktur fra LayerZero, en protokoll som lar DeFi-applikasjoner sende meldinger og verdier mellom blokkjeder. Ifølge blokkjedeforskeren Stacy Muur utnyttet angriperen et enkelt svakhetspunkt: en falsk melding fikk broen til å frigi rsETH på Ethereum uten at tilsvarende tokens ble trukket fra sirkulasjon på Unichain, en raskere og billigere nettverk bygget oppå Ethereum.
Med 116 500 rsETH i hånden deponerte angriperen tokenene i Aave som sikkerhet og lånte ut wrapped ether (WETH) — en fullt dekket ether-token med reell markedsverdi. Da KelpDAO oppdaget angrepet og pauset rsETH-kontraktene på Ethereum og flere tilknyttede nettverk, var skaden allerede skjedd. Aave satt med sikkerhet uten underliggende verdi, mens WETH-en allerede var lånt ut og borte. Fordi sikkerheten er verdiløs, kan ikke protokollen tvangsinnløse posisjonen for å dekke tapet.
De samlede innskuddene i Aave falt med 6,6 milliarder dollar på 24 timer. Alt utlånt ether var lånt ut, slik at det ikke var noe igjen for vanlige brukere å ta ut. AAVE-tokenen falt 18 prosent. Da brukerne ikke fikk tatt ut innskuddene sine, begynte mange å låne stablecoins mot dem i stedet — noe som forsterket likviditetspresset ytterligere. Uttaksbølgen spredte seg raskt også til DeFi-protokoller som ikke var direkte rammet: ifølge 0xngmi, medgrunnlegger av dataleverandøren DefiLlama, ble det netto tatt ut 6,2 milliarder dollar fra Aave alene i løpet av søndag morgen.
Aaves Umbrella-system, som erstattet det gamle Safety Module sent i 2025, er designet for nettopp denne typen scenario. Brukere som har låst inn aWETH — kvitteringstokenet man får når man setter inn ether i Aave — i Umbrella-vaulten får automatisk kuttet innskuddene sine for å dekke underskuddet. Når kuttingen er gjennomført, skal gjenværende innskytere få delvis uttakstilgang, men full dekning er ikke garantert — de kan måtte akseptere et kutt i posisjonene sine. Hendelsen blir dermed den første virkelige testen av om Umbrella faktisk fungerer som tiltenkt når et tap på flere hundre millioner dollar skal absorberes.
Mens Umbrella-kuttingen pågår, har utlånsprotokollen Fluid lansert aWETH Redemption Protocol — en alternativ vei ut for brukere som er fanget i Aave. Løsningen lar rene innskytere bytte aWETH direkte til wstETH eller weETH, to andre former for innsatt ether, og dermed få umiddelbar likviditet uten å vente på innløsning fra Aave. Brukere med ether som sikkerhet og annen gjeld kan bytte sikkerheten til wstETH eller weETH mens gjelden består. Fluid samarbeider med Lido, ether.fi, 0x, 1inch og KyberNetwork om løsningen, som har en initiell kapasitet på én milliard dollar i ether. Responstiden og bredden i samarbeidet viser hvordan annen type DeFi-infrastruktur raskt kan rute rundt problemer i tradisjonelle utlånsprotokoller.
Det sentrale poenget er at Aaves kode fungerte som den skulle. Tapet oppstod fordi protokollens styring hadde godkjent rsETH som sikkerhet med høy belåningsgrad — en beslutning som gjorde Aave sårbar for svakheter i et helt annet system. En token som rsETH henter sin verdi fra underliggende infrastruktur som broer og restaking-protokoller, og når den infrastrukturen svikter, forplanter risikoen seg til alle protokoller som har akseptert tokenet som sikkerhet.
Det samme prinsippet gjelder på broens side. Ifølge flere uavhengige tekniske gjennomganger var ikke LayerZero-protokollen som sådan kompromittert — problemet lå i hvordan KelpDAO hadde konfigurert sin egen bro oppå den. KelpDAOs rsETH-oppsett hadde kun én påkrevd verifiseringsnode og ingen reserver, slik at en enkelt falsk godkjenningsmelding var nok til å frigi midlene. "The KelpDAO exploit is NOT a LayerZero protocol bug. It's a configuration issue," skrev utvikleren cryptogoblin i en teknisk gjennomgang på X, ifølge CoinDesk. LayerZero bekreftet selv at protokollens øvrige applikasjoner ikke var berørt. Forskjellen mellom en protokollfeil og en konfigurasjonsfeil har betydning for hele sektoren: den flytter ansvaret fra koden til de beslutningene utviklerne tar når de setter opp systemene, og reiser spørsmål om hvorvidt DeFis sikkerhetsstandarder holder tritt med veksten i kapital som ligger under.
Smitteeffekten strakk seg også til protokoller uten direkte eksponering mot rsETH. Stablecoin-utstederen Ethena skrev på X at de forlenger pausen på sin egen bro — som bruker samme LayerZero-infrastruktur som KelpDAO-broen — inntil det foreligger en tilfredsstillende årsaksanalyse av rsETH-hendelsen. Ethena publiserte samtidig en ny oversikt over reservene sine, verifisert av fire uavhengige tredjeparter — Chainlink, Chaos Labs, LlamaRisk og Harris & Trotter — som bekrefter at stablecoinen USDe fortsatt er mer enn fullt dekket. Eksemplet viser hvordan en hendelse i én protokoll tvinger andre til å stanse drift, selv uten direkte eksponering, fordi de deler underliggende bro-infrastruktur.
Ingen enkeltaktør i kjeden feilet i sin egen kode. Alle leddene fungerte som designet. LayerZero leverte byggeklossene for å sende meldinger mellom blokkjeder uten å sette minstekrav til verifisering. KelpDAO bygde sin bro oppå og valgte et minimalistisk oppsett med kun én verifiseringsnode. Aaves styring åpnet for at rsETH — en token utstedt av en helt annen protokoll, avhengig av en bro Aave ikke kontrollerer — kunne brukes som sikkerhet med høy belåningsgrad. Angriperen utnyttet summen av disse beslutningene og tømte Aave for ekte ether mot sikkerhet som raskt gikk til null. Til slutt står Aaves innskytere igjen med regningen — gjennom Umbrella-kuttingen, gjennom fastlåste uttak og gjennom fallet i AAVE-tokenen.
Stemningsskiftet i miljøet har vært markant. I kommentarfeltene og på X har uttrykket "DeFi is dead" — og særlig mantraet "just use aave is dead" — spredt seg i etterkant av hendelsen. Det reflekterer en bredere erkjennelse av at sektoren har gått inn i det som kan bli dens verste hackår så langt. Ledgers teknologidirektør Charles Guillemet uttalte at tilliten til DeFi har "eroded", og at 2026 "most likely" blir det verste året for hack i sektorens historie. KelpDAO-hendelsen kommer oppå Drift-angrepet på 285 millioner dollar 1. april, som senere ble knyttet til nordkoreanske aktører, og minst tolv mindre hendelser i april alene — deriblant CoW Swap, Zerion, Rhea Finance og Silo Finance. Samlet gir det et bilde av en sektor der tilliten til at etablerte protokoller er trygge, står svakere enn på lenge.
Aave er DeFis største utlånsprotokoll og en av de eldste i sektoren, opprinnelig lansert i 2017 under navnet ETHLend. Plattformen lar brukere låne ut kryptovaluta mot renter eller låne mot egen sikkerhet, uten mellommenn. All utlåns- og lånevirksomhet styres av programmerbare kontrakter på Ethereum og flere tilknyttede nettverk, og protokollen er styrt av AAVE-token-innehavere som stemmer over blant annet hvilke eiendeler som skal godtas som sikkerhet. Før hendelsen hadde Aave samlet inn over 30 milliarder dollar i innskudd på tvers av nettverkene.
KelpDAO utsteder rsETH, i praksis en digital kvittering på innsatt ether som gir avkastning både fra ordinær Ethereum-staking og fra EigenLayer, et system der den innsatte etheren gjenbrukes til å sikre andre protokoller. Tokenet kan brukes videre i DeFi, for eksempel som sikkerhet hos Aave. For å flytte rsETH mellom ulike blokkjeder driver KelpDAO en bro bygget oppå infrastruktur fra LayerZero, og det var denne broen angriperen utnyttet.
LayerZero er en protokoll som lar DeFi-applikasjoner sende meldinger og verdier mellom ulike blokkjeder. Sikkerheten hviler på såkalte verifiseringsnoder som sjekker at meldingene mellom kjedene er gyldige. Både KelpDAO-broen og Ethenas egen bro er bygget oppå LayerZero-infrastruktur.
Kilder: Aave, Fluid, Ethena, Forbes, Decrypt, Yahoo, Coindesk