18 kwietnia protokół Kelp DAO został zaatakowany za pośrednictwem kontraktu OFT LayerZero. Haker wywołał funkcję lzReceive w EndpointV2 i wyprowadził 116 500 rsETH o wartości około 293 milionów dolarów. Portfel napastnika został wcześniej przygotowany za pomocą Tornado Cash.
Przez 46 minut nie podjęto żadnych działań – była sobota. W tym czasie atakujący zdążył przekształcić większość środków w ETH i WETH za pośrednictwem Aave V3 i V4, zajmując ponad 236 milionów dolarów. Dopiero po tym zespół Kelp DAO aktywował wstrzymanie głównych kontraktów – dwie kolejne próby eksploatacji zostały zablokowane.
Aave zamroził rynki rsETH w wersjach V3 i V4 jako środek ostrożności. Sam protokół nie został włamany; jednak ze względu na beznadziejne długi powstałe w wyniku ataku token AAVE spadł o 18%. W społeczności pojawiły się apele o wyprowadzenie WETH z Aave V3 Core ze względu na obawy przed kaskadowymi likwidacjami.