Kelp DAO perde 292M$ nel più grande exploit crypto 2026

Paragrafo introduttivo

Il 18 aprile 2026, Kelp DAO ha subito quello che Chainalysis e Coindesk hanno descritto come il più grande exploit crypto dell'anno: un attaccante ha drenato 116.500 rsETH — circa 292 milioni di dollari ai prezzi correnti — da un bridge basato su LayerZero, lasciando Ether wrapped bloccati su 20 chain e provocando congelamenti d'emergenza nei principali mercati di lending. La quantità rubata corrispondeva a circa il 18% dell'offerta circolante di rsETH, una concentrazione di rischio che ha costretto interventi rapidi a livello di protocollo su Aave, SparkLend, Fluid e Upshift (Coindesk, 18 apr 2026). L'incidente evidenzia la rinnovata vulnerabilità nei livelli di messaggistica cross-chain e nella composizione che sottendono la DeFi moderna, sollevando questioni sulla sicurezza degli oracoli/del cross-chain e sulla gestione della liquidità su larga scala. Desk di trading, custodi e controparti istituzionali hanno ribilanciato le esposizioni verso asset nativi wrappati nel giro di ore, e gli indicatori on-chain hanno mostrato una volatilità intraday drammatica in rsETH e nelle coppie correlate di wrapped-ether. Questo rapporto presenta un'analisi basata sui dati dell'exploit, della reazione immediata del mercato, delle implicazioni per il settore e delle considerazioni di rischio prospettiche per gli stakeholder istituzionali.

Contesto

L'exploit ha preso di mira la logica di settlement del bridge abilitato da LayerZero di Kelp DAO il 18 aprile 2026, secondo i report di Coindesk. LayerZero è un protocollo di messaggistica cross-chain ampiamente utilizzato che permette agli asset di muoversi ed essere rappresentati su più blockchain. L'attaccante ha estratto 116.500 rsETH, cifra che Coindesk ha stimato in circa 292 milioni di dollari; quella quantità rappresentava circa il 18% dell'offerta circolante di rsETH, implicando un'offerta circolante stimata intorno a 647.200 token. La concentrazione di token all'interno di un bridge composabile ha esposto un rischio di liquidità sistemico perché i token wrappati su una chain vengono spesso riutilizzati come collateral o liquidità su altre chain.

I bridge cross-chain sono stati una fonte ricorrente di incidenti sistemici: l'exploit di Wormhole del 2022 costò circa 320 milioni di dollari, mentre fallimenti storici come l'hack della DAO del 2016 furono più piccoli in termini di dollari ma funsero da momenti spartiacque per la governance del rischio di protocollo. Rispetto a quegli eventi, la perdita di 292 milioni di Kelp si colloca tra le violazioni di singolo protocollo più grandi per valore in dollari nell'ultimo mezzo decennio ed è l'exploit più significativo registrato nel 2026 fino a metà aprile. Le controparti istituzionali e i prime broker che trattavano ether wrappato e reclamazioni native del bridge come equivalenti all'ETH spot hanno affrontato una ricalibrazione improvvisa del rischio di controparte e di custodia.

Le risposte dei protocolli sono state rapide e disomogenee. Aave, SparkLend, Fluid e Upshift hanno congelato alcuni mercati per prevenire cascade di liquidazioni e fermare la propagazione di liquidità contaminata, riflettendo un playbook operativo che dà priorità alla stabilità del mercato rispetto alla composability. I congelamenti e gli interventi a livello amministrativo hanno preservato la solvibilità nominale dei grandi lender ma hanno introdotto incertezza sulla fungibilità degli asset, sulla provenienza cross-chain e sull'affidabilità dei meccanismi automatici di liquidazione. Per le istituzioni, questi eventi sottolineano l'importanza di limiti di esposizione dinamici, due diligence sulle controparti e capacità forensi on-chain per tracciare la provenienza degli asset wrappati.

Analisi dei dati

I numeri grezzi dal report di Coindesk stabiliscono la scala e la portata dell'exploit: 116.500 rsETH rubati, 292 milioni di dollari in valore, token bloccati su 20 chain separate e congelamenti d'emergenza in quattro protocolli di lending nominati (Coindesk, 18 apr 2026). L'impronta cross-chain — 20 chain — è notevole perché moltiplica i canali di custodia e liquidità; ogni chain rappresenta un pool separato di controparti, profondità di liquidità AMM e dipendenze da oracoli. L'azione dell'attaccante ha determinato una frammentazione della liquidità, con slippage dei prezzi registrato su più coppie DEX dove rsETH o derivati di wrapped ETH venivano utilizzati come asset di base. Le metriche on-chain dagli explorer hanno mostrato un picco di attività di trasferimento on-chain e incrementi netti del consumo di gas sulle chain colpite nelle ore successive all'esecuzione dell'exploit.

Gli effetti sulla microstruttura di mercato sono stati immediati: i fornitori di liquidità hanno ritirato profondità dalle coppie rsETH, le riserve di stablecoin sono state impiegate per assorbire la volatilità e gli spread impliciti di basis per i prodotti derivati si sono ampliati materialmente. Ad esempio, i desk che monitoravano i funding rate hanno riportato un ampliamento del basis futures per prodotti denominati in ETH rispetto allo spot di alcune centinaia di punti base intraday, riflettendo premi di liquidità di controparte elevati. I mercati secondari per protocolli con forte esposizione a rsETH hanno visto scatenarsi la volatilità a livello di token; sebbene i dati di volatilità precisi varino per chain e coppia, la volatilità realizzata a breve termine per certe coppie rsETH è salita a multipli di 7–10x rispetto ai range intraday normali nelle prime 12 ore.

Dal punto di vista forense, i movimenti on-chain dell'attaccante hanno indicato un modello di rapida frammentazione e dispersione attraverso molteplici endpoint di bridging, complicando il tracciamento e il recupero. La strategia di dispersione cross-chain è una tattica nota per offuscare la provenienza e per sfruttare la frammentazione giurisdizionale e tecnica negli sforzi di recupero. Tale strategia ha anche aumentato l'onere operativo su custodi e relayer per coordinare i congelamenti e identificare i fondi contaminati. Gli analisti che hanno confrontato i flussi on-chain con exploit di bridge precedenti hanno osservato che la velocità di dispersione e l'ampiezza su 20 chain sono state tra le principali ragioni per cui questo evento è degenerato in un incidente di stabilità di mercato piuttosto che in una violazione isolata del protocollo.

Implicazioni per il settore

L'exploit probabilmente spingerà a una ricalibrazione dei modelli di rischio attraverso l'intero stack infrastrutturale DeFi. I bridge e i livelli di messaggistica cross-chain sono centrali per la moltiplicazione della liquidità dei token; un singolo grande exploit che interrompe quella moltiplicazione può creare shock di liquidità correlati attraverso protocolli apparentemente non connessi. Gli attori istituzionali che avevano modellato gli asset nativi wrappati come equivalenti fungibili a nati