Gli hacker hanno sfruttato un ponte cross-chain collegato a Kelp DAO, causando il furto di quasi 300 milioni di dollari in asset digitali, in quella che è stata riportata come il più grande exploit di finanza decentralizzata del 2026.
L’attacco ha mirato a un ponte costruito con la tecnologia LayerZero, che consente trasferimenti tra diverse reti blockchain. Secondo i rapporti, gli aggressori hanno prosciugato circa 116.500 token rsETH, valutati circa 292 milioni di dollari al momento dell’incidente.
La violazione è avvenuta il 18 aprile 2026, quando gli aggressori hanno eseguito transazioni non autorizzate attraverso l’infrastruttura del ponte. Furono individuati ulteriori tentativi di estrazione di fondi ma non ebbero successo, limitando così le perdite totali.
Kelp DAO ha sospeso i contratti interessati poco dopo aver rilevato l’attività, nel tentativo di prevenire ulteriori trasferimenti non autorizzati.
I ponti cross-chain sono progettati per facilitare il trasferimento di asset tra ecosistemi blockchain separati. Questi sistemi si basano su meccanismi di validazione che confermano le transazioni tra le reti. In questo caso, l’exploit prevedeva la manipolazione di quei meccanismi per autorizzare prelievi non legittimi.
I beni rubati rappresentano una parte significativa della fornitura del protocollo. Le stime indicano che i fondi prosciugati rappresentavano circa il 18% dell’offerta totale di rsETH all’epoca.
L’incidente ha colpito molteplici piattaforme finanziarie decentralizzate che si basano sulla stessa infrastruttura, poiché i ponti cross-chain spesso fungono da componenti condivisi tra diversi servizi.
Non è stata fatta alcuna conferma riguardo all’identità degli aggressori. Le indagini sono in corso, con analisti blockchain che tracciano il movimento dei fondi rubati attraverso diverse reti e servizi.
I ponti cross-chain sono stati ripetutamente prese di mira in incidenti precedenti a causa delle grandi risorse che detengono e della complessità dei loro sistemi di validazione. La ricerca sulla sicurezza ha identificato questi meccanismi come un punto comune di fallimento nelle architetture finanziarie decentralizzate.
I dettagli tecnici completi dell’exploit non sono stati resi noti. Kelp DAO e i fornitori di infrastrutture associati hanno dichiarato che l’analisi dell’incidente è ancora in corso.