Il 20 aprile, il protocollo decentralizzato Kelp DAO è stato vittima di un attacco hacker su larga scala, con perdite che superano i 300 milioni di dollari. Già nelle prime ore dopo l'incidente, era chiaro che si trattava di uno dei più grandi colpi nel settore DeFi degli ultimi anni. In questo articolo analizzeremo ciò che è noto fino ad oggi e daremo uno sguardo dettagliato all'andamento delle indagini nei primi 18 giorni dopo il hack.
Se nelle prime ore dopo l'incidente il quadro degli eventi era frammentario, nel corso dei dieci giorni successivi l'indagine si è arricchita di un numero significativo di dettagli tecnici e fatti.
Attacco 1
Fase 1
Attacco iniziale
È continuata per un minuto.
Il punto d'ingresso è stato scelto nel bridge cross-chain rsETH basato sull'infrastruttura LayerZero. L'hack è avvenuto a causa della compromissione dell'infrastruttura dei nodi RPC. È stata utilizzata una vulnerabilità architetturale. L'infezione dell'intero sistema è iniziata con un ID compromesso.
Fase 2
Area degli eventi principali
Dopo la violazione del sistema, i malintenzionati hanno utilizzato uno schema astuto: hanno inviato un messaggio contraffatto riguardante il 'blocco' riuscito dei fondi.
Per coloro che non hanno familiarità con l'architettura DeFi, in questo contesto 'blocco' non funziona come un congelamento del conto, ma come conferma di un deposito. In normali condizioni, il processo appare così:
Fase 1
Tu depositi un attivo (ad esempio, 100$). Il sistema registra la ricezione dei fondi e 'blocca' questi nel suo deposito come garanzia.
Fase 2
Solo dopo il successo della prima fase viene avviato il processo automatico di emissione di nuovi token, che il пользователи ricevono.
Proprio questa logica è stata utilizzata dagli hacker. Hanno costretto il sistema a credere che la prima fase fosse stata completata con successo, anche se non erano stati depositati asset reali. Interpretando il messaggio contraffatto come legittimo, il protocollo ha erroneamente emesso 116.500 rsETH senza alcun collaterale reale. Grazie all'integrazione con la tecnologia LayerZero, i malintenzionati sono stati in grado di diffondere rapidamente questo effetto su più blockchain. Questo ha permesso loro di ritirare fondi da oltre 20 reti, tra cui Arbitrum, Base, Linea e altre, trasformando l'errore di un protocollo in una perdita di liquidità su vasta scala nell'intero ecosistema.
Fase 3
Uscita e legalizzazione
Ricevendo migliaia di token illiquidi rsETH (che in realtà non avevano alcun reale collaterale), gli hacker li hanno utilizzati come garanzia nei protocolli di prestito, in particolare in Aave.
Come funziona (in parole semplici):
Immagina un normale banco dei pegni. Se porti lì un dipinto, il valutatore lo esaminerà attentamente in tempo reale prima di darti i soldi. Tuttavia, i protocolli di prestito crypto sono sistemi automatici che operano secondo algoritmi prestabiliti. Gli hacker hanno 'portato' in questo banco dei pegni digitale opere d'arte contraffatte (rsETH illiquidi). Poiché il sistema ha percepito questi token come legittimi, ha automaticamente erogato fondi liquidi reali - Ethereum (WETH) - come garanzia. I malintenzionati hanno ottenuto criptovalute reali, lasciando al protocollo 'cartacce' prive di valore. Per cancellare ogni traccia, i fondi ottenuti sono stati immediatamente disperso tra centinaia di indirizzi anonimi. Questo ha reso il processo di tracciamento e recupero degli asset estremamente complesso per gli analisti.
Contromisure
Gli amministratori di Kelp DAO hanno attivato un 'fermo d'emergenza' per tutti gli smart contract, al fine di prevenire ulteriori prelievi di fondi. L'attacco ha colpito almeno 9 protocolli affini, e il team ha avviato un urgente sincronizzazione con altre piattaforme DeFi per isolare i pool di liquidità danneggiati.
Nei primi minuti sono stati coinvolti team di cybersecurity, tra cui:
Cyvers:
Uno dei primi a rilevare attività anomale e confermare l'hack
Halborn
Ha pubblicato un dettagliato rapporto tecnico, spiegando il motivo dell'hack: una vulnerabilità nella configurazione del verificatore del bridge cross-chain.
PeckShield
Hanno diretto le forze ad analizzare le transazioni.
Chainalysis e Elliptic
Tracciamento degli asset rubati.
Dopo le prime contromisure, sembrava che questa storia seguisse un percorso logico di indagine, comunicazione, ecc. Tuttavia, dopo 20 minuti, è accaduto ciò che avrebbe potuto portare questo furto a un livello di categorizzazione delle conseguenze ancora più alto.
Attacco 2
Nonostante le contraddizioni dopo gli eventi sopra citati, il sistema è stato compromesso e gli hacker hanno colpito nuovamente.
Il punto d'ingresso erano gli stessi nodi RPC compromessi.
In quel momento, i principali smart contract erano già stati congelati dai team di protezione e un'altra strada è stata scelta per l'attacco. È stato inviato un nuovo pacchetto di dati con una falsa conferma di 'burning' di token su una delle reti. L'idea principale era cercare di costringere il bridge a emettere un nuovo lotto di rsETH non garantiti su un'altra rete.
Concetto in parole semplici:
Nel trasferire 100 monete da una rete all'altra, si possono distinguere diverse fasi.
Fase 1
La rete da cui sono state inviate le monete registra il loro presunto 'burning', creando essenzialmente un blocco di dati che funge in una certa misura da ricevuta. Essa dice testualmente: richiesta effettuata per il trasferimento di una certa quantità di monete.
Fase 2
Se queste sono reti collegate, secondo gli algoritmi di verifica stabiliti, l'altra rete inizia a ricevere dati. Se la verifica è già stata effettuata su un'altra rete, si innesca l'emissione delle stesse 100 monete. Gli hacker hanno inviato un falso messaggio riguardo al successo delle azioni della fase 1, che in realtà non è mai avvenuta. In caso di successo, sarebbero stati ottenuti tra 95 e 105 milioni di dollari in forma di rsETH.
Contromisure dei team di sicurezza
Oltre alla concentrazione degli sforzi sulle conseguenze del precedente attacco, parte dei team ha protetto il 'perimetro'. Grazie alla separazione efficace delle forze, il consiglio di sicurezza di Arbitrum ha bloccato il tentativo di prelievo di fondi a livello di smart contract e l'attacco ha fallito.
Chi c'è dietro l'attacco
Non sono state avanzate accuse ufficiali contro singoli individui o gruppi statali. Il principale sospettato dell'attacco su larga scala a Kelp DAO, avvenuto nell'aprile 2026, è il gruppo hacker nordcoreano Lazarus (in particolare la sua unità TraderTraitor). I rapporti preliminari di LayerZero Labs, così come l'analisi delle aziende Chainalysis, Halborn e dell'investigatore blockchain ZachXBT, indicano il gruppo Lazarus come il probabile esecutore.
L'indagine sull'hack di Kelp DAO, avvenuta nell'aprile 2026, ha riunito team internazionali di cybersecurity, forze dell'ordine e gruppi specializzati di risposta rapida blockchain. Poiché l'attacco è legato al gruppo nordcoreano Lazarus (in particolare al sottogruppo TraderTraitor), l'indagine ha una portata globale.
Team di investigazione di punta
Team di Kelp DAO e auditor
Stanno lavorando per rimuovere le vulnerabilità e recuperare i dati dai log dei nodi infetti.
LayerZero Labs
Ho condotto un'analisi della mia infrastruttura (nodi RPC), che è stata utilizzata come punto d'ingresso.
Consiglio di sicurezza di Arbitrum
Organo di gestione della rete Arbitrum, che ha coordinato il congelamento degli attivi.
Stati Uniti
Chainalysis
Ha fornito un rapporto dettagliato, confermando che l'attacco era mirato all'infrastruttura off-chain, e non agli smart contract.
TRM Labs
Si occupano di monitorare attivamente i portafogli dei malintenzionati in tempo reale.
Cina/Singapore
PeckShield
Aiuta a tracciare i percorsi di trasferimento degli asset rubati attraverso diversi protocolli di privacy.
Israele
Cyvers
Uno dei primi a rilevare l'hack e fornire un'analisi tecnica di come gli hacker hanno riciclato i fondi attraverso THORChain e BitTorrent.
Corea del Sud
Collabora attivamente attraverso dati di intelligence riguardanti le attività degli hacker nordcoreani.
Comunità internazionale
Gruppo di risposta rapida e sicurezza SEAL. Si è unito all'indagine preliminare e ha aiutato a minimizzare ulteriori perdite.
Compensazione
Fonti di fondi per la compensazione:
Fondi congelati ($71 milioni)
Questi sono gli stessi attivi su Arbitrum che il consiglio di sicurezza della rete ha bloccato. Sono stati restituiti a Kelp DAO tramite una votazione di governance speciale.
Fondo di tesoreria proprio
Il team di Kelp ha utilizzato le commissioni accumulate e parte delle proprie riserve per coprire.
Vendita di token KELP
È stato effettuato un round di finanziamento d'emergenza attraverso la vendita di token del progetto a fondi di venture capital con uno sconto significativo per ottenere liquidità rapidamente.
Piano di recupero
Priorità agli investitori retail
Utenti normali che detenevano piccole somme in rsETH hanno avuto accesso al prelievo dei fondi per primi.
'Promissory notes' tecnici
Per coloro che non volevano aspettare 6 mesi per un rimborso completo, Kelp ha emesso token speciali kLoss. Essi rappresentavano un diritto su una futura quota dei profitti del protocollo. Gli utenti potevano tenerli fino al pagamento completo o venderli sul mercato secondario a chi era disposto ad aspettare.
Ruolo di LayerZero
Poiché l'hack è avvenuto attraverso l'infrastruttura di LayerZero, la società sviluppatrice (LayerZero Labs) ha assegnato un grant di $10 milioni come gesto di buona volontà per supportare gli utenti colpiti, anche se legalmente non hanno riconosciuto la loro colpa totale.
Il 6 aprile, il team di Kelp DAO ha ufficialmente annunciato l'abbandono dell'uso dei sistemi LayerZero e il passaggio all'infrastruttura di Chainlink.
Stato attuale
La maggior parte degli utenti (oltre il 98%) ha completamente ripristinato le proprie posizioni. Tuttavia, i grandi investitori istituzionali sono ancora in fase di ricezione degli ultimi tranche secondo il piano di sblocco.
Conclusione
L'hack di Kelp DAO è ufficialmente diventato uno dei più grandi furti degli ultimi anni. Tuttavia, l'indagine ha rivelato che dopo l'attacco iniziale è seguita una seconda ondata. Grazie al professionismo dei team di cybersecurity, questo secondo attacco è stato completamente respinto, riducendo i potenziali danni di circa il 40%. Nonostante ciò, la situazione rimane complessa. La questione della protezione dei dati sta diventando critica, considerando la rapida crescita del numero di progetti e la prospettiva di trasformare i sistemi crypto in una base finanziaria a tutti gli effetti per interi stati.