Serangan terhadap @KelpDAO merupakan salah satu eksploitasi DeFi terbesar pada 2026, dengan kerugian diperkirakan sebesar $292–294 juta (sekitar 116.500 rsETH, mewakili ~18% daripada jumlah edaran keseluruhan). Peristiwa Utama Masa: Sekitar 17:35 UTC pada 18 April 2026. Penyerang mengeksploitasi jambatan rsETH KelpDAO, yang bergantung kepada pesan lintas-rangkaian LayerZero. Penyerang memanggil fungsi lzReceive pada LayerZero EndpointV2 dan memalsukan (palsukan) pesan lintas-rangkaian untuk mencetak rsETH tanpa sokongan (rsETH tanpa aset asal yang sebenar). rsETH palsu kemudian disetorkan ke protokol pinjaman utama seperti Aave V3, Compound, Euler, dan lain-lain untuk meminjam kira-kira $106–236 juta dalam ETH/WETH. Sebahagian besar ETH yang dicuri dipindahkan dan kemungkinan dicuci (Tornado Cash telah digunakan sebelum ini untuk membiayai dompet penyerang). KelpDAO dengan cepat menghentikan kontrak rsETH di rangkaian utama Ethereum dan beberapa rangkaian Layer-2. Beberapa protokol lain (Aave, SparkLend, Fluid, Upshift, Lido, Ethena, dsb.) mengaktifkan pembekuan kecemasan untuk mengurangkan kerosakan lanjut. Punca Utama Punca utama ialah kesilapan keselamatan kritikal dalam pengaturan jambatan LayerZero: LayerZero menyokong ambang keselamatan untuk Rangkaian Pemeriksa Terdesentralisasi (DVN), seperti 2/2 atau 3/3 (memerlukan beberapa pemeriksa untuk dikompromikan). KelpDAO mengaturnya sebagai 1/1 (hanya satu pemeriksa diperlukan), membolehkan penyerang dengan mudah memalsukan pesan. Adapter jambatan $rsETH dieksploitasi secara langsung, membolehkan pencetakan rsETH palsu tanpa had. Akibat Bagi KelpDAO: Kehilangan nilai rsETH sebanyak ~$292 juta, kontrak dihentikan, kerosakan reputasi serius, dan rsETH kehilangan pegangannya. Kesan penyebaran: @aave V3 menghadapi hutang buruk besar (~$200–290 juta pada kolam WETH) kerana rsETH palsu digunakan sebagai jaminan untuk meminjam ETH sebenar. Pemberi pinjaman WETH di Aave digalakkan untuk segera menarik dana. Sekurang-kurangnya 9 protokol lain (Aave, Compound, Morpho, SparkLend, dsb.) turut terjejas. ETH terbungkus menjadi terperangkap di lebih daripada 20 rangkaian. Kesan pasaran: Token $AAVE jatuh tajam (~10–15%). Token $ZRO @LayerZero_Core juga menurun ketara. Sentimen negatif merata di seluruh DeFi, dengan ramai pengguna menarik likuiditi daripada protokol pinjaman. Penyerang telah memindahkan sebahagian besar ETH, tetapi beberapa pasaran masih dibekukan untuk mengawal kerosakan. Insiden ini masih dalam penyiasatan (analisis on-chain seperti ZachXBT secara aktif memantau ia). Ia menjadi pengingat besar terhadap risiko yang berkaitan dengan jambatan lintas-rangkaian dan token restaking cair apabila diintegrasikan ke dalam protokol pinjaman tanpa kawalan yang kukuh. Jika anda memegang kedudukan berkaitan rsETH, kolam WETH Aave, atau vault pinjaman berkaitan ETH, disarankan untuk menyemak dan mempertimbangkan untuk menarik dana bagi mengelakkan hutang buruk atau pembekuan yang berpanjangan. Situasi ini mungkin terus berkembang dalam jam-jam akan datang.