Il fondatore di Tron, Justin Sun, ha pubblicamente invitato l’hacker del bridge KelpDAO a negoziare la restituzione dei fondi rubati, avvertendo che una perdita da 292 milioni di dollari potrebbe far crollare sia Aave che KelpDAO.
L’appello di Sun è arrivato dopo il più grande exploit nella finanza decentralizzata (DeFi) del 2026, che il 18 aprile ha prosciugato 116.500 rsETH dal cross-chain bridge di KelpDAO.
Sun sposta fondi mentre Aave subisce il colpo
L’attaccante ha sfruttato una vulnerabilità del bridge di KelpDAO basato su LayerZero, falsificando messaggi cross-chain per rilasciare rsETH senza i relativi burn di token.
I token rubati sono poi stati depositati come collateral su Aave V3, dove l’hacker ha preso in prestito grandi quantità di Wrapped Ether (WETH) utilizzandoli come garanzia.
Dal momento che i rsETH sono diventati non garantiti, le posizioni sono di fatto non liquidabili, lasciando Aave con oltre 236 milioni di dollari di debiti inesigibili.
Aave ha bloccato i mercati rsETH sia su V3 sia su V4 nel giro di poche ore. Il fondatore di Aave, Stani Kulechov, ha confermato che l’exploit ha avuto origine al di fuori dei contratti di Aave.
I dati on-chain mostrano che Sun ha prelevato urgentemente 65.584 ETH, per un valore di circa 154 milioni di dollari, da Aave depositandoli subito dopo su Spark.
La sua esposizione totale su Aave sarebbe così scesa a 380 milioni di dollari, mentre le partecipazioni su Sky e Spark sarebbero salite a 2,13 miliardi di dollari.
“OK — Hacker di KelpDAO, quanto vuoi? Parliamone, con l’aiuto di KelpDAO ovviamente. Semplicemente non ne vale la pena sacrificare sia Aave che KelpDAO e vederli crollare a causa di questo hack”, ha scritto Justin Sun in un post.
Anche il protocollo di interoperabilità Axelar è intervenuto esprimendo solidarietà a LayerZero, esortando il settore ad adottare standard di sicurezza più rigorosi per i bridge.
Axelar ha sottolineato l’importanza di configurazioni multi-validator, indicando che la struttura a singolo validatore di Kelp potrebbe aver reso possibile la violazione.
L’exploit supera quello da 285 milioni di dollari del protocollo Drift su Solana avvenuto il 1° aprile, diventando la maggiore perdita DeFi dell’anno.
