KelpDAO subisce un exploit da 266 milioni di euro su LayerZero che colpisce il token rsETH e coinvolge direttamente il gruppo Lazarus Group. L’attacco sfrutta una configurazione di verifica single-DVN, consentendo agli hacker di manipolare messaggi cross-chain e validare transazioni inesistenti. Il furto riguarda circa 116.500 token rsETH e rappresenta uno dei più gravi incidenti DeFi del 2026. La risposta immediata di Aave e LayerZero ha limitato la propagazione del rischio nell’ecosistema.
Cosa leggere
Lazarus Group sfrutta RPC poisoning nel sistema LayerZero
Gli attaccanti attribuiti al Lazarus Group hanno compromesso i nodi RPC utilizzati dal sistema di verifica decentralizzata di LayerZero. L’operazione ha previsto la sostituzione dei binari sui nodi op-geth e un attacco DDoS mirato contro i nodi sani per forzare il passaggio ai nodi compromessi. Questo meccanismo ha consentito di generare conferme di transazioni mai avvenute sulla blockchain. Il payload malevolo ha fornito dati falsi esclusivamente al sistema di verifica, mantenendo risposte corrette verso altri endpoint per evitare rilevamenti. Una volta completato l’attacco, le tracce sono state eliminate automaticamente.
Configurazione single DVN crea un punto critico di fallimento
Il fattore determinante dell’exploit è la configurazione 1/1 DVN utilizzata da KelpDAO, che affidava la verifica a un unico nodo senza ridondanza. Questa scelta ha creato un singolo punto di fallimento facilmente sfruttabile. LayerZero aveva raccomandato l’uso di configurazioni multi-verifier con quorum di consenso, ma l’implementazione di KelpDAO non ha seguito queste indicazioni. L’assenza di validatori indipendenti ha permesso agli attaccanti di manipolare il flusso di verifica senza incontrare controlli aggiuntivi.
LayerZero isola l’incidente e aggiorna l’infrastruttura
LayerZero ha reagito rapidamente isolando i nodi compromessi e sostituendo l’infrastruttura RPC. Il sistema di verifica è stato ripristinato con nuovi nodi e configurazioni più sicure. Il team ha dichiarato che il protocollo non è stato violato direttamente e che l’attacco ha colpito esclusivamente l’implementazione specifica di rsETH. LayerZero ha inoltre deciso di non supportare più configurazioni single-DVN, imponendo agli sviluppatori l’adozione di modelli con più verificatori indipendenti. Questa misura mira a ridurre il rischio sistemico nelle applicazioni future.
Aave congela i mercati rsETH per evitare effetti a catena
Aave ha congelato immediatamente i mercati rsETH su Aave V3 e Aave V4 per contenere i rischi. La decisione impedisce nuovi depositi e prestiti utilizzando rsETH come collaterale. Il protocollo non è stato compromesso direttamente, ma il valore del token è stato influenzato dalla perdita di backing reale. Il team sta analizzando i prestiti effettuati dopo l’attacco per identificare eventuali debiti non coperti. Le riserve del treasury e i meccanismi di sicurezza permettono di gestire scenari di stress senza compromettere la stabilità complessiva della piattaforma.
KelpDAO sospende i contratti e avvia analisi forense
KelpDAO ha rilevato attività anomale il 18 aprile 2026 e ha sospeso immediatamente i contratti rsETH su Ethereum e su tutte le layer 2 supportate. La misura blocca ulteriori movimenti e consente di valutare l’entità del danno. Il team collabora con partner tecnici per tracciare i fondi sottratti, che sono stati instradati attraverso servizi di mixing per offuscare le transazioni. rsETH era ampiamente utilizzato come collaterale in protocolli di lending, aumentando il potenziale impatto sistemico dell’exploit.
L’attacco evidenzia debolezze nei bridge cross chain e nei nodi RPC
L’incidente mette in luce una vulnerabilità strutturale nelle infrastrutture cross-chain basate su nodi RPC. Questi componenti rappresentano un punto critico perché operano off-chain e possono essere compromessi senza alterare direttamente la blockchain. L’attacco dimostra che anche sistemi con controlli avanzati possono essere aggirati se l’infrastruttura di verifica non è adeguatamente distribuita. La dipendenza da RPC esterni rimane uno dei principali vettori di rischio nel settore DeFi.
Impatto sull’ecosistema DeFi e sicurezza dei protocolli
Il furto da 266 milioni di euro riaccende il dibattito sulla sicurezza dei protocolli DeFi. I sistemi di liquid restaking come rsETH offrono rendimenti elevati ma introducono complessità aggiuntive legate a bridge e verifiche cross-chain. L’incidente dimostra che configurazioni non ottimali possono annullare i benefici della decentralizzazione. Gli sviluppatori devono adottare standard più rigorosi per la sicurezza, mentre gli utenti devono valutare attentamente i rischi associati ai token derivati.
Il caso KelpDAO segna un punto di svolta per la sicurezza cross chain
L’exploit rappresenta un caso emblematico di attacco mirato a infrastrutture di verifica piuttosto che a smart contract. La modularità di LayerZero ha limitato la diffusione del danno, ma l’evento evidenzia l’importanza di configurazioni corrette da parte degli integratori. Il coinvolgimento del Lazarus Group conferma il crescente interesse degli attori statali e organizzati nel settore DeFi. Il futuro della sicurezza cross-chain dipenderà dalla capacità di implementare verifiche distribuite e sistemi resilienti contro attacchi sofisticati.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
