Bridge rsETH di Kelp DAO sfruttato per $292M

Il bridge rsETH di Kelp DAO ha subito una grave violazione della sicurezza il 18 apr 2026, con monitor on‑chain e report che attribuiscono una perdita di circa $292 milioni a un exploit basato su LayerZero. L'attacco, riportato da The Block, ha visto il multisig pauser d'emergenza del protocollo congelare i contratti core circa 46 minuti dopo il drenaggio iniziale, bloccando almeno due tentativi successivi di spostare fondi (The Block, Apr 18, 2026). La rapidità e la portata del furto collocano l'incidente tra i più grandi fallimenti di bridge cross‑chain degli ultimi quattro anni, e sollevano nuovamente interrogativi sui compromessi di sicurezza introdotti dai layer di messaggistica cross‑chain componibili. Controparti istituzionali, custodi e soggetti che interagiscono con asset sintetici bridgati come rsETH dovrebbero considerare le esposizioni operative e di controparte che emergono quando tessuti di messaggistica come LayerZero sono combinati con governance di contratti permissioned.

Contesto

Kelp DAO ha lanciato rsETH come rappresentazione wrapped o sintetica di Ethereum in staking utilizzata attraverso più chain, facendo affidamento sulla messaggistica cross‑chain di LayerZero per coordinare stato e riscatti. Secondo il reporting di The Block del 18 apr 2026, quel percorso di messaggistica è stato sfruttato nell'exploit per autorizzare prelievi che hanno drenato circa $292 milioni dal bridge. I bridge e i wrapper cross‑chain sono stati ripetutamente vettori per perdite ingenti: la compromissione di Ronin nel marzo 2022 ha comportato una perdita di circa $625 milioni, e l'exploit di Wormhole nel febbraio 2022 ha rimosso approssimativamente $320 milioni (Chainalysis; report di settore). In confronto, i $292 milioni dell'evento Kelp rappresentano un'entità significativa ma non senza precedenti rispetto a questi incidenti storici.

La risposta di governance è stata rapida per gli standard Web3: il multisig pauser d'emergenza del protocollo ha eseguito un congelamento dei contratti core circa 46 minuti dopo che il drenaggio era stato osservato per la prima volta. Quel lasso di ~46 minuti è contemporaneamente abbastanza lungo da permettere a un attore sofisticato di estrarre fondi e abbastanza breve da bloccare follow‑through immediati, come dimostrato dal fatto che il team di Kelp avrebbe impedito due ulteriori tentativi di trasferimento. La trasparenza on‑chain consente agli investigatori e agli exchange di tracciare i flussi, ma il recupero è multifaccettato e più lento: i fondi sono stati mossi attraverso più indirizzi e possibilmente verso mixer o chain intermedie. L'account di The Block fornisce un timestamp e una stima della perdita; gli investigatori on‑chain stanno ancora riconciliando le denominazioni token e i percorsi esatti.

Gli strumenti di LayerZero sono stati rapidamente adottati dalle applicazioni cross‑chain perché riducono l'attrito nella trasmissione dei messaggi; tuttavia, un'adozione più ampia aumenta il rischio sistemico se un layer di messaggistica viene abusato o configurato in modo errato. I partecipanti istituzionali che operano con asset bridgati dovrebbero esaminare sia l'economia degli smart contract sia le assunzioni legate alla messaggistica cross‑chain. Per i clienti che desiderano maggiori informazioni sull'architettura dei bridge e sulle esposizioni sistemiche, vedere la nostra introduzione su argomento.

Approfondimento dei dati

Quantitativamente, la cifra principale riportata da The Block—~$292 milioni—ancora ancorata all'evento. Il timing dell'attacco (18 apr 2026) è verificato nei report pubblici e nei timestamp on‑chain; il congelamento d'emergenza è avvenuto approssimativamente 46 minuti dopo il movimento iniziale secondo lo stesso reporting (The Block, Apr 18, 2026). I confronti storici aggiungono prospettiva: Ronin (mar 2022) ha visto $625M sottratti; Wormhole (feb 2022) ha perso circa $320M—entrambi casi di riferimento per il rischio cross‑chain (report forensi di settore). Questi confronti mostrano che la perdita di Kelp è circa il 47% di Ronin e circa il 91% di Wormhole, collocando l'incidente come una violazione importante ma non record.

Tracce di transazioni on‑chain pubblicate da analisti indipendenti e dashboard aggregate indicano molteplici trasferimenti in uscita nei primi 10–15 minuti, seguiti da una pausa e poi da tentativi bloccati. L'interruzione di 46 minuti ha creato sia un'opportunità per il contenimento sia sfide per il recupero; per esempio, quanto più tempo gli attaccanti hanno per stratificare e offuscare i flussi, tanto minore è la probabilità che gli exchange centralizzati riescano a congelare i depositi in entrata in tempo. Mentre gli investigatori analizzano i flussi di token, la suddivisione tra ETH nativo, derivati wrapped di ETH e altri asset ERC‑20 rimane critica per stimare il valore recuperabile e l'applicabilità delle coperture assicurative.

La reazione di mercato nell'immediato post‑evento è stata misurabile: le liquidazioni nei mercati di derivati legati a esposizioni in ETH sintetico hanno ampliato la volatilità implicita di diversi punti percentuali sulle principali piattaforme di derivati crypto nelle ore successive al report, e i desk di trading hanno riferito limiti di rischio più restrittivi per prodotti mintati cross‑chain. Pur essendo gli impatti sul prezzo spot di ETH attenuati rispetto a hack di bridge precedenti—in parte perché rsETH di Kelp è uno strumento specifico di protocollo e non una fonte primaria di liquidità per i mercati spot—l'evento ha aumentato i premi per il rischio di controparte per i protocolli che emettono sintetici bridgati.

Implicazioni per il settore

Da una prospettiva settoriale, l'incidente di Kelp sottolinea una biforcazione nell'economia crypto tra stack permissionless altamente componibili e rail più conservativi e permissioned. I bridge e le infrastrutture di messaggistica cross‑chain rimangono un vettore di crescita per le applicazioni decentralizzate; tuttavia, l'aggregazione di valore su primitivi di messaggistica aumenta la vulnerabilità sistemica. Gli ingressi istituzionali che valutano l'esposizione ai derivati cross‑chain dovrebbero trattare layer di messaggistica come LayerZero come infrastruttura di terze parti e condurre la stessa due diligence di controparte applicata a custodi e venue di esecuzione.

I mercati assicurativi e i servizi di custodia osserveranno le richieste derivanti da questo exploit per ricalibrare termini di polizza ed esclusioni. Storicamente, gli assicuratori hanno imposto premi più elevati e coperture più ristrette per l'esposizione cross‑chain dopo grandi breach di bridge (pratiche di mercato successive ai breach del 2022). La capacità di riassicurazione e la condizionalità attorno a prova di controllo e meccanismi di slashing influenzeranno come le polizze evolveranno; le istituzioni dovrebbero pertanto coinvolgere i team di sottoscrizione con co