Inuti Kelp DAO-kapningen på 3 miljarder kronor

Kelp DAO är ett likvidt återstakningsprotokoll som ger ut rsETH över fler än 20 blockkedjenätverk via en LayerZero Omn-ichain Fungible Token-brygga . När en användare skickar tillbaka rsETH till Ethereum mainnet, levererar LayerZeros meddelandelager en instruktion över kedjor som säger åt bryggans kontrakt att släppa tokens från spärren.

Säkerheten i den frigivningen bygger på Decentraliserade Verifierarnätverk (DVN) – noder utanför kedjan som intygar att meddelandet är giltigt. Kelp DAO konfigurerade sin brygga med ett tröskelvärde på 1-av-1 DVN, vilket innebar att en enda verifierare räckte för att godkänna vilket meddelande som helst över kedjor .

Angriparen komprometterade Kelps interna RPC-noder och DDoS-attackerade externa noder. Därmed lämnades bara den enda verifieraren operativ och fick ett förfalskat meddelande som påstod att 116 500 rsETH hade bränts på källkedjan. Verifieraren intygade meddelandet, Ethereum-kontraktet lydde, och medlen släpptes till en adress kontrollerad av angriparen .

Chainalysis bekräftade att varje transaktion på kedjan såg legitim ut för vanliga säkerhetsverktyg eftersom intrånget skedde helt och hållet utanför kedjan – på infrastruktur- och nodnivå . Traditionella granskningar av smarta kontrakt var irrelevanta.

Kelps nödmultisignatur pausade kontrakten 46 minuter efter den första tömningen och förhindrade därmed ytterligare uppföljningsattacker värda omkring 2,3 miljarder kronor .

Pengatvätten: så försvann 2,5 miljarder kr på sex veckor

Angriparen satt inte still på de stulna tokens. Inom några timmar hade 89 567 av de 116 500 osäkrade rsETH satts in som säkerhet i Aave V3 och angriparen lånade ungefär 82 650 WETH och 821 wstETH – rena, likvida tillgångar – innan någon hann frysa positionerna . Liknande säkerhetsbelåning skedde på Compound och Euler, där ungefär 74 000 ren ETH extraherades .

Sedan började den verkliga tvätten.

Under de följande sex veckorna tvättade angriparen nästan alla ofrysta, stulna medel – cirka 2,5 miljarder kronor. Den 1 juni 2026 återstod bara omkring 19 miljoner kronor spårbara i de ursprungliga plånböckerna . Tvättkedjan följde ett medvetet mönster i två steg:

• Steg ett: Tornado Cash användes för att bryta de första kopplingarna på kedjan och skymma transaktionsgrafen .
• Steg två: Medel routades genom Wasabi Wallet för CoinJoin-liknande Bitcoin-mixning och skickades sedan tillbaka till Ethereum via protokoll över kedjor – främst THORChain, som hanterade ungefär 900 miljoner kronor i ETH-till-Bitcoin-swappar under ett enda dygn. Det pressade THORChains swapvolym till cirka 11 gånger det dagliga genomsnittet .

TRM Labs bekräftade senare att THORChain fungerade som den konsekventa favoritbryggan i Nordkoreas största kupper, utan att någon operatör var villig att frysa eller neka överföringar – varken under Bybit-intrånget 2025 eller KelpDAO-exploateringen .

En ny detalj flaggades också av NS3.AI: angriparna använde LayerZero själva för att flytta minst 5,7 miljoner kronor av de stulna medlen över kedjor under tvättfasen – första gången samma applikation utnyttjades för både själva stölden och en del av pengatvätten .

Arbitrums säkerhetsråd fryser tillgångar: 800 miljoner kr fångades i flykten

Alla medel kom inte undan. Den 20 april 2026 klockan 23:26 ET verkställde Arbitrums säkerhetsråd en nödåtgärd för att frysa 30 766 ETH – ungefär 810 miljoner kronor, motsvarande en fjärdedel av det totala stulna beloppet – som fanns på en angriparkontrollerad adress på Arbitrum One .

Rådet agerade efter samråd med brottsbekämpande myndigheter och flyttade medlen till en styrningskontrollerad mellanhandsplånbok. Nio av tolv rådsmedlemmar röstade för frysningen . Medlen kan bara frigöras genom en formell omröstning i Arbitrums styrning .

Den 8 maj 2026 godkände Arbitrums säkerhetsråd ett gemensamt förslag om att låsa upp dessa medel i syfte att påskynda återhämtningen av rsETH-säkerheter och återställa likviditeten för drabbade användare. Återställningsprocessen pågår fortfarande med inblandning av brottsbekämpande myndigheter .

Aaves väckarklocka på 2,6 miljarder kr och omstöpningen av riskramverket

Aave tog den allvarligaste andrahandsskadan. Angriparen satte in 89 567 falska rsETH i Aave V3 och lånade cirka 2,6 miljarder kronor i rena tillgångar – lån som blev oåterkalleliga kreditförluster när rsETH avslöjades som osäkrade .

Aaves protokollväktare frös rsETH- och wrsETH-reserver över alla V3-installationer vid ungefär 19:00 UTC den 18 april, och satte belåningsgraden till noll över 11 drabbade marknader, inklusive Ethereum, Arbitrum, Avalanche och Optimism . WETH-upplåning – en central del av DeFi:s finansiella rörsystem – frystes effektivt över sex nätverk.

I mitten av maj 2026 hade över 95 procent av de osäkrade tokens återhämtats, och det återstående underskottet förväntas täckas av Aaves DAO-kassa och koalitionen DeFi United . Aave återställde normala WETH-upplåningsgränser över sex V3-nätverk den 18 maj 2026 .

Men det bestående arvet är styrningssvaret. Vid Consensus Miami 2026 tillkännagav Aave Labs chefsjurist och policychief Linda Jeng en genomgripande översyn av protokollets standarder för tillgångslistning och säkerhetsvärdering . Det nya ramverket vidgas bortom traditionella finansiella riskmått till att omfatta:

• Cybersäkerhetssårbarheter och operativ säkerhetsstatus
• Broinfrastrukturberoenden och risker med enstaka verifierare
• Oracle-beroenden och exponering mot tredjepartskontrakt
• Depåarrangemang och interoperabilitetsrisker över sammansatta protokoll

Aave har redan justerat 295 riskparametrar och lagt till automatiserade försvar som kan sänka en tillgångs belåningsgrad till noll när fördefinierade riskgränser triggas . Protokollet inleder en fullständig granskning av varje tillgång listad på V3 och skriver om sina listningsstandarder från grunden .

Den större bilden: broar är nu DeFi:s främsta attackyta

Kelp DAO skedde inte isolerat. Det var den andra broexploateringen på över en miljard kronor på 18 dagar, efter Drift Protocols socialt manipulerade intrång på 3 miljarder kronor den 1 april – också den tillskriven Lazarus-gruppen . Tillsammans drev dessa två incidenter DeFi-förlusterna i början av 2026 över 9,5 miljarder kronor .

Det systemiska nedfallet överskuggade den direkta stölden. Inom 48 timmar efter Kelp DAO-exploateringen försvann motsvarande 150 miljarder kronor i totalt låst värde från DeFi. Enbart Aave tappade 43 procent av sitt TVL över 26 spårade protokoll . En uttagsrusning på 61 miljarder kronor svepte genom ekosystemet .

Attacken blottlade vad Chainalysis kallade en kritisk strukturell blind fläck: DeFi-säkerhet hade överväldigande fokuserat på granskningar av smarta kontrakt, medan broinfrastruktur, noders driftsäkerhet och enstaka verifierarkonfigurationer förblev i stort sett outforskade riskvektorer .

Åtgärderna är redan igång. Protokoll migrerar till brokonfigurationer med flera verifierare. Aaves nya listningshandbok – som väntas publiceras som en formell spelbok för tillgångsutgivare – kommer att kräva att projekt redovisar broarkitektur, verifierardecentralisering och nodsäkerhetsrutiner innan rsETH-liknande derivat kan tas ombord som säkerhet .

Lazarus utnyttjade en klyfta mellan vad DeFi granskade och vad DeFi faktiskt var beroende av. Industrins svar antyder att den klyftan äntligen håller på att täppas till – men först efter en lektion värd 3,1 miljarder kronor.