Em 18 de abril, o protocolo Kelp DAO sofreu um ataque por meio do contrato OFT da LayerZero. O hacker chamou a função lzReceive no EndpointV2 e retirou 116.500 rsETH, no valor aproximado de US$ 293 milhões. A carteira do invasor havia sido preparada antecipadamente por meio do Tornado Cash.
Durante 46 minutos, nenhuma ação foi tomada — era sábado. Nesse período, o atacante conseguiu converter a maior parte dos fundos em ETH e WETH por meio do Aave V3 e V4, obtendo mais de US$ 236 milhões. Somente após isso a equipe do Kelp DAO ativou a pausa dos contratos principais — as duas tentativas subsequentes de exploração foram bloqueadas.
O Aave congelou os mercados de rsETH no V3 e no V4 como medida de proteção. O protocolo em si não foi hackeado; porém, devido às dívidas insustentáveis geradas pelo ataque, o token AAVE caiu 18%. Na comunidade, há apelos para retirar o WETH do Aave V3 Core, por temor de liquidações em cascata.