Hackers hebben misbruik gemaakt van een cross-chain brug die verbonden is met Kelp DAO, wat heeft geleid tot de diefstal van bijna 300 miljoen dollar aan digitale activa in wat wordt gemeld als de grootste gedecentraliseerde financiële exploit van 2026.
De aanval was gericht op een brug die is gebouwd met LayerZero-technologie, die overdrachten tussen verschillende blockchainnetwerken mogelijk maakt. Volgens berichten hebben aanvallers ongeveer 116.500 rsETH-tokens leeggezogen, ter waarde van ongeveer 292 miljoen dollar op het moment van het incident.
De inbreuk vond plaats op 18 april 2026, toen de aanvallers ongeautoriseerde transacties uitvoerden via de bruginfrastructuur. Er werden extra pogingen om fondsen te innen vastgesteld, maar slaagden niet, waardoor de totale verliezen werden beperkt.
Kelp DAO pauzeerde de getroffen contracten kort na het detecteren van de activiteit, in een poging verdere ongeautoriseerde overdrachten te voorkomen.
Cross-chain bruggen zijn ontworpen om de overdracht van activa tussen afzonderlijke blockchain-ecosystemen te vergemakkelijken. Deze systemen zijn afhankelijk van validatiemechanismen die transacties over netwerken heen bevestigen. In dit geval hield de exploit in dat die mechanismen werden gemanipuleerd om opnames te autoriseren die niet legitiem waren.
De gestolen bezittingen vormen een aanzienlijk deel van de voorraad van het protocol. Schattingen geven aan dat de uitgeputte middelen destijds ongeveer 18% van de totale rsETH-voorraad uitmaakten.
Het incident trof meerdere gedecentraliseerde financieringsplatforms die afhankelijk zijn van dezelfde infrastructuur, aangezien cross-chain bruggen vaak als gedeelde componenten over verschillende diensten dienen.
Er is geen bevestigde toeschrijving gedaan over de identiteit van de aanvallers. Onderzoeken lopen nog, waarbij blockchain-analisten de beweging van gestolen fondsen tussen verschillende netwerken en diensten volgen.
Cross-chain bruggen zijn herhaaldelijk het doelwit geweest in eerdere incidenten vanwege de grote pools van activa die ze bezitten en de complexiteit van hun validatiesystemen. Beveiligingsonderzoek heeft deze mechanismen geïdentificeerd als een veelvoorkomend faalpunt in gedecentraliseerde financiële architecturen.
De volledige technische details van de exploit zijn niet bekendgemaakt. Kelp DAO en aanverwante infrastructuuraanbieders hebben verklaard dat de analyse van het incident nog gaande is.