Le 18 avril, le protocole Kelp DAO a subi une attaque via le contrat OFT de LayerZero. Le pirate a appelé la fonction lzReceive sur EndpointV2 et a retiré 116 500 rsETH, d'une valeur d'environ 293 millions de dollars. Le portefeuille du cybercriminel avait été préparé à l'avance via Tornado Cash.
Pendant 46 minutes, aucune mesure n'a été prise – c'était samedi. Durant ce laps de temps, l'attaquant a réussi à convertir la majeure partie des fonds en ETH et WETH via Aave V3 et V4, s'endettant ainsi pour plus de 236 millions de dollars. Ce n'est qu'à ce moment-là que l'équipe de Kelp DAO a activé la suspension des contrats principaux – les deux tentatives d'exploitation suivantes ont été bloquées.
Aave a gelé les marchés rsETH sur V3 et V4 à titre de mesure de protection. Le protocole lui-même n'a pas été compromis ; toutefois, en raison des dettes sans espoir créées par l'attaque, le token AAVE a chuté de 18 %. Dans la communauté, on entend des appels à retirer le WETH d'Aave V3 Core par crainte de liquidations en cascade.