En angriper lurte KelpDAOs bro mellom blokkjeder til å frigi 116 500 rsETH verdt rundt 292 millioner dollar, brukte tokenene som sikkerhet i Aave og lånte wrapped ether før broen ble frosset. Aave sitter igjen med anslagsvis 200 millioner dollar i dårlig gjeld.
Händelsen illustrerar hur sammansatta DeFi-produkter skapar nya former av smittrisk. Aaves kod blev inte hacket — förlusten uppstod eftersom protokollets styrning hade accepterat en token utgiven av ett helt annat protokoll, beroende av en bro som Aave inte kontrollerar. När bron utnyttjades fortplantade sårbarheten sig direkt till Aaves balansräkning. För institutionella aktörer som överväger exponering mot DeFi — inklusive nordiska och baltiska aktörer som följer området nära — är detta en påminnelse om att risk i sektorn inte bara handlar om kodreviser, utan om hur olika protokoll hänger ihop.
Bilden: Aave är etablerad och leds av Stani Kulechov.
KelpDAO driver en bro som flyttar tokens mellan olika blockkedjor och utger rsETH — i praktiken ett digitalt kvitto på insatt ether, som ger avkastning både från vanlig Ethereum-staking och från EigenLayer, ett system där den insatta etheren återanvänds för att säkra andra protokoll. Bron är byggd på infrastruktur från LayerZero, ett protokoll som låter DeFi-applikationer skicka meddelanden och värden mellan blockkedjor. Enligt blockkedjeforskaren Stacy Muur utnyttjade angriparen en enkel svaghet: ett falskt meddelande fick bron att frigöra rsETH på Ethereum utan att motsvarande tokens drogs ur cirkulation på Unichain, ett snabbare och billigare nätverk byggt på Ethereum.
Med 116 500 rsETH i handen deponerade angriparen tokenen i Aave som säkerhet och lånade ut wrapped ether (WETH) — ett fullt täckt ether-token med verkligt marknadsvärde. När KelpDAO upptäckte angrepet och pausade rsETH-kontrakten på Ethereum och flera tillhörande nätverk, var skadan redan skedd. Aave satt med säkerhet utan underliggande värde, medan WETH:en redan var utlånad och borta. Eftersom säkerheten är värdelös kan inte protokollet tvinga inlösa positionen för att täcka förlusten.
De sammanlagda insättningarna i Aave föll med 6,6 miljarder dollar på 24 timmar. All utlånad ether var utlånad, så det fanns inget kvar för vanliga användare att ta ut. AAVE-tokenen föll 18 procent. När användarna inte fick ta ut sina insättningar började många låna stablecoins mot dem istället — vilket förstärkte likviditetspresset ytterligare. Uttagsvågen spred sig snabbt även till DeFi-protokoll som inte var direkt drabbade: enligt 0xngmi, medgrundare av dataleverantören DefiLlama, drogs 6,2 miljarder dollar netto ut från Aave ensam under söndagsmorgonen.
Aaves Umbrella-system, som ersatte det gamla Safety Module sent 2025, är designat just för denna typ av scenario. Användare som låst in aWETH — kvittotoken man får när man sätter in ether i Aave — i Umbrella-vaulten får automatiskt kuttade insättningar för att täcka underskottet. När kuttningen är genomförd ska återstående insättare få delvis uttagsåtkomst, men full täckning är inte garanterad — de kan tvingas acceptera ett kutt i sina positioner. Händelsen blir därmed den första verkliga testet av om Umbrella faktiskt fungerar som avsett när ett förlust på flera hundra miljoner dollar ska absorberas.
Medan Umbrella-kuttningen pågår har utlåningsprotokollet Fluid lanserat aWETH Redemption Protocol — en alternativ väg ut för användare som är fångade i Aave. Lösningen låter rena insättare byta aWETH direkt till wstETH eller weETH, två andra former av insatt ether, och därmed få omedelbar likviditet utan att vänta på inlösen från Aave. Användare med ether som säkerhet och annan skuld kan byta säkerheten till wstETH eller weETH medan skulden består. Fluid samarbetar med Lido, ether.fi, 0x, 1inch och KyberNetwork om lösningen, som har en initial kapacitet på en miljard dollar i ether. Svaren tid och bredden i samarbetet visar hur annan typ av DeFi-infrastruktur snabbt kan routa runt problem i traditionella utlåningsprotokoll.
Den centrala poängen är att Aaves kod fungerade som den skulle. Förlusten uppstod eftersom protokollets styrning hade godkänt rsETH som säkerhet med hög belåningsgrad — ett beslut som gjorde Aave sårbar för svagheter i ett helt annat system. En token som rsETH hämtar sitt värde från underliggande infrastruktur som broar och restaking-protokoll, och när den infrastrukturen sviktar, fortplantar sig risken till alla protokoll som har accepterat tokenen som säkerhet.
Samma princip gäller på brosidan. Enligt flera oberoende tekniska genomgångar var inte LayerZero-protokollet som sådant komprometterat — problemet låg i hur KelpDAO hade konfigurerat sin egen bro ovanpå den. KelpDAO:s rsETH-uppställning hade endast en nödvändig verifieringsnod och inga reservfonder, så ett enda falskt godkännandemeddelande var tillräckligt för att frigöra medlen. "The KelpDAO exploit is NOT a LayerZero protocol bug. It's a configuration issue," skrev utvecklaren cryptogoblin i en teknisk genomgång på X, enligt CoinDesk. LayerZero bekräftade själva att protokollets övriga applikationer inte var drabbade. Skillnaden mellan ett protokollfel och ett konfigurationsfel har betydelse för hela sektorn: den flyttar ansvaret från koden till de beslut utvecklarna tar när de sätter upp systemen, och väcker frågor om huruvida DeFi:s säkerhetsstandarder hänger med tillväxten i kapital som ligger under förvaltning.
Smitteffekten sträckte sig även till protokoll utan direkt exponering mot rsETH. Stablecoin-utgivaren Ethena skrev på X att de förlänger pausen på sin egen bro — som använder samma LayerZero-infrastruktur som KelpDAO-bron — tills det föreligger en tillfredsställande orsaksanalys av rsETH-händelsen. Ethena publicerade samtidigt en ny översikt över sina reserver, verifierad av fyra oberoende tredje parter — Chainlink, Chaos Labs, LlamaRisk och Harris & Trotter — som bekräftar att stablecoinen USDe fortfarande är mer än fullt täckt. Exemplet visar hur en händelse i ett protokoll tvingar andra att stoppa driften, även utan direkt exponering, eftersom de delar underliggande broinfrastruktur.
Ingen enskild aktör i kedjan misslyckades i sin egen kod. Alla länkar fungerade som designat. LayerZero levererade byggklossarna för att skicka meddelanden mellan blockkedjor utan att ställa minimikrav på verifiering. KelpDAO byggde sin bro ovanpå och valde ett minimalistiskt uppställning med endast en verifieringsnod. Aaves styrning öppnade dörren för att rsETH — en token utgiven av ett helt annat protokoll, beroende av en bro Aave inte kontrollerar — skulle kunna användas som säkerhet med hög belåningsgrad. Angriparen utnyttjade summan av dessa beslut och tömde Aave på äkta ether mot säkerhet som snabbt gick mot noll. Till slut står Aaves insättare kvar med räkningen — genom Umbrella-kuttningen, genom fastlåsta uttag och genom fallet i AAVE-tokenen.
Stämningsskiftet i miljön har varit markant. I kommentarsfält och på X har uttrycket "DeFi is dead" — och särskilt mantrat "just use aave is dead" — spridit sig i kölvattnet av händelsen. Det reflekterar en bredare erkännande av att sektorn har gått in i det som kan bli dess värsta hackår hittills. Ledgers tekniska direktör Charles Guillemet uttalade att tilliten till DeFi har "eroded", och att 2026 "most likely" blir det värsta året för hack i sektorns historia. KelpDAO-händelsen kommer ovanpå Drift-attacken på 285 miljoner dollar 1 april, senare kopplad till nordkoreanska aktörer, och minst tolv mindre händelser enbart i april — däribland CoW Swap, Zerion, Rhea Finance och Silo Finance. Sammantaget ger det en bild av en sektor där tilliten till att etablerade protokoll är säkra står svagare än på länge.
Aave är DeFi:s största utlåningsprotokoll och en av de äldsta i sektorn, ursprungligen lanserad 2017 under namnet ETHLend. Plattformen låter användare låna ut kryptovaluta mot ränta eller låna mot egen säkerhet, utan mellanmäns. All utlånings- och låneaktivitet styrs av programmerbara kontrakt på Ethereum och flera tillhörande nätverk, och protokollet styrs av AAVE-token-innehavare som röstar om bland annat vilka tillgångar som ska godtas som säkerhet. Förut händelsen hade Aave samlat in över 30 miljarder dollar i insättningar på tvärs av nätverken.
KelpDAO utger rsETH, i praktiken ett digitalt kvitto på insatt ether som ger avkastning både från vanlig Ethereum-staking och från EigenLayer, ett system där den insatta etheren återanvänds för att säkra andra protokoll. Tokenet kan användas vidare i DeFi, exempelvis som säkerhet hos Aave. För att flytta rsETH mellan olika blockkedjor driver KelpDAO en bro byggd på infrastruktur från LayerZero, och det var denna bro angriparen utnyttjade.
LayerZero är ett protokoll som låter DeFi-applikationer skicka meddelanden och värden mellan olika blockkedjor. Säkerheten vilar på så kallade verifieringsnoder som kontrollerar att meddelandena mellan kedjorna är giltiga. Både KelpDAO-bron och Ethenas egen bro är byggda på LayerZero-infrastruktur.
Källor: Aave, Fluid, Ethena, Forbes, Decrypt, Yahoo, CoinDesk