KelpDAO ha perso più di 292 milioni di dollari dopo che degli attaccanti hanno svuotato posizioni su vari protocolli di Finanza Decentralizzata (DeFi) su Ethereum e Arbitrum.
L’investigatore on-chain ZachXBT ha segnalato l’incidente, identificando sei wallet controllati dagli attaccanti che stanno movimentando attivamente i fondi rubati.
Come è avvenuto l’attacco a KelpDAO
I dati sulla blockchain mostrano che i wallet degli attaccanti hanno ricevuto i primi fondi tramite Tornado Cash, il mixer per la privacy, poche ore prima che iniziasse il furto.
I wallet hanno poi interagito con i protocolli DeFi, eseguendo approvazioni di token e swap tramite KyberSwap e KelpDAO, prima di convertire tutte le posizioni in ether (ETH).
“KelpDAO sembra aver subito un furto di oltre 280 milioni di dollari un’ora fa su Ethereum e Arbitrum. Gli indirizzi dell’attacco sono stati finanziati tramite Tornado Cash”, ha spiegato in dettaglio ZachXBT su Telegram.
In circa un’ora, gli attaccanti hanno consolidato circa 75.700 ETH, per un valore totale intorno a 178 milioni di dollari ai prezzi attuali, in un unico wallet.
Il valore restante rubato comprende altri token e posizioni su Arbitrum. Al momento della pubblicazione, non sono stati rilevati deflussi da questo wallet di consolidamento.
Il pattern suggerisce una compromissione della chiave privata e non un exploit di uno smart contract su un protocollo specifico.
La vittima sembra aver detenuto una significativa esposizione DeFi su entrambe le chain, e l’attaccante ha prelevato e convertito sistematicamente queste posizioni in ETH.
Una tendenza in crescita di attacchi mirati alle balene
L’incidente segue un forte aumento di phishing e attacchi di ingegneria sociale che prendono di mira detentori di importanti capitali.
Nel solo gennaio 2026, una singola vittima di phishing ha perso 284 milioni di dollari, rappresentando oltre il 70% delle perdite totali da furti crypto nel mese.
Se confermata la cifra di 292 milioni di dollari, si tratterebbe di una delle più grandi compromissioni di wallet individuali mai registrate.
Gli analisti della sicurezza dovrebbero spiegare in dettaglio nelle prossime ore un’analisi on-chain ancora più approfondita.
KelpDAO non ha ancora commentato pubblicamente l’accaduto e non ha risposto immediatamente alla richiesta di commento da parte di BeInCrypto.
Nel frattempo, altre segnalazioni indicano che anche l’account Instagram della launchpad per meme coin su Solana Pump.fun è stato compromesso.
“Qualsiasi post pubblicato dall’account Instagram ufficiale di pump fun non dovrebbe essere considerato attendibile. Ignorate tutti i post dell’account finché non lo avremo reso sicuro”, ha spiegato in dettaglio il team in un comunicato.
Nonostante ciò, le piattaforme di Pump.fun restano operative e i fondi degli utenti sono al sicuro.
