18 अप्रैल को, Kelp DAO प्रोटोकॉल पर LayerZero के OFT कॉन्ट्रैक्ट के माध्यम से हमला हुआ। हैकर ने EndpointV2 पर lzReceive फ़ंक्शन को बुलाया और लगभग $293 मिलियन की राशि में 116,500 rsETH निकाल लिए। दुर्भावनापूर्ण व्यक्ति का वॉलेट पहले से Tornado Cash के माध्यम से तैयार किया गया था।
46 मिनट तक कोई कार्रवाई नहीं की गई—शनिवार था। इस दौरान, हमलावर ने Aave V3 और V4 के माध्यम से ज्यादातर धन को ETH और WETH में बदल लिया, जिससे उसने $236 मिलियन से अधिक का ऋण ले लिया। इसके बाद ही Kelp DAO टीम ने मुख्य कॉन्ट्रैक्ट्स को रोक दिया—बाद के दो प्रयासों को ब्लॉक कर दिया गया।
Aave ने सुरक्षा उपाय के रूप में V3 और V4 पर rsETH मार्केट्स को फ्रीज कर दिया। प्रोटोकॉल खुद हैक नहीं किया गया है, लेकिन हमले के परिणामस्वरूप उत्पन्न हुए असंभव ऋणों के कारण AAVE टोकन 18% तक गिर गया है। समुदाय में डर के कारण Aave V3 Core से WETH निकालने की आवाज़ें उठ रही हैं, ताकि कैस्केडिंग लिक्विडेशन से बचा जा सके।