18 апреля протокол Kelp DAO подвергся атаке через OFT-контракт LayerZero. Хакер вызвал функцию lzReceive на EndpointV2 и вывел 116 500 rsETH на сумму около $293 млн. Кошелёк злоумышленника был заранее подготовлен через Tornado Cash.
В течение 46 минут никаких действий не предпринималось - суббота. За это время атакующий успел конвертировать большую часть средств в ETH и WETH через Aave V3 и V4, заняв более $236 млн. Лишь после этого команда Kelp DAO активировала паузу основных контрактов - две последующие попытки эксплойта были заблокированы.
Aave заморозил рынки rsETH на V3 и V4 в качестве защитной меры. Сам протокол не взломан, однако из-за безнадёжных долгов, образовавшихся в результате атаки, токен AAVE упал на 18%. В сообществе звучат призывы выводить WETH из Aave V3 Core из опасений каскадных ликвидаций.