Nabigo ng humigit-kumulang $292 milyon ang KelpDAO's rsETH bridge, na maaaring dulot ng single-verification configuration ng LayerZero Noong April 18, 17:35 (UTC, 02:35 sa lokal na oras ng 2026 na April 19), kinuha ng mga attacker ang 116,500 rsETH (humigit-kumulang $292 milyon ayon sa oras ng pagsulat ng artikulo) sa pamamagitan ng isang pagnanakaw sa LayerZero-based bridge ng KelpDAO na nagdadala ng liquid staking token na rsETH, gamit ang isang masamang cross-chain message. Pagkatapos makita ang pagkawala, siniguro ng KelpDAO ang pagpapahinto sa mga kontraktong may kaugnayan sa rsETH, at sinimulan ng mga pangunahing lending platform ang pagpapahinto sa mga epekto sa merkado. ([https://t.co/yxB106i5Uw](https://t.co/9OxQJcEWwa)) Ayon sa mga ulat, ang paraan ng pagnanakaw ay gumamit ng "spoofed receipt packets" sa pamamagitan ng LayerZero messaging, at ang desisyon ay naging kritikal dahil ang pag-verify sa panig ng bridge ay nakabatay lamang sa isang single verifier (1-of-1) signature. Dahil dito, inilabas nang sabay-sabay ang rsETH mula sa escrow na hindi dapat ipaglaban, at ginamit ng attacker ang mga token na ito bilang collateral para sa malaking pautang upang makakuha ng pera. Ang teknikal na detalye, transaction IDs, at forensic estimates ay patuloy na ipinapahayag ng mga espesyalisadong website. ([https://t.co/nxOnLAhrAO](https://t.co/9E4fLTfvcE)) Ang epekto ay mabilis na kumalat. Ang rsETH ay nasa higit sa 20 blockchain kabilang ang Ethereum mainnet, Base, Arbitrum, Linea, Mantle, at Scroll, at may takot na mawalan ng sapat na backing ang rsETH sa bawat chain dahil sa pagbaba ng supply sa bridge. Bilang tugon, isinara ng Aave ang kaugnay na rsETH market, at sumunod ang iba pang lending at yield products sa pagpapahinto o pagtarik ng rsETH positions. Sa merkado, nakita rin ang biglaang pagbaba ng AAVE token, at naging sentro ang maikling panahong credit cost at aplikasyon ng insurance modules. ([https://t.co/yxB106i5Uw](https://t.co/9OxQJcEWwa)) Ayon sa on-chain analysis, ang halaga ng natanggal at napawi (cash assets na inabot ng attacker sa pamamagitan ng pautang) ay inaasahang nasa range ng $200 milyon hanggang $236 milyon, habang ang "bad debt" na ipinapahayag ng Aave ay humigit-kumulang $177 milyon. Ang mga insurance mechanisms ng Aave (tulad ng Umbrella module) at ang loss absorption mechanisms sa pagitan ng protocols ay nasa tuktok ng pansin, at kung gaano karaming stress ito ay idudulot sa protocol ay maaaring makaapekto sa susunod na governance decisions. ([https://t.co/nxOnLAhrAO](https://t.co/9E4fLTfvcE)) Nagbigay ang KelpDAO at LayerZero ng pangako para sa post-mortem para sa pagtuklas sa sanhi at pagtugon, habang nagtatrabaho nang magkakasama ang mga security audit firms at on-chain investigation teams upang subaybayan ang mga transaksyon. Ipinakita ng insidente na ito muli na ang "bridge at message verification settings" ay maaaring maging patay na panganib para sa mataas na halagang asset. Habang iiiwasan ang mga tiyak na pahayag na maaaring magdulot ng desisyon sa pag-invest, mahalaga na suriin ang opisyal na ulat at follow-up mula sa mga kaugnay na kumpanya. ([https://t.co/yxB106i5Uw](https://t.co/9OxQJcEWwa))