18 квітня протокол Kelp DAO зазнав атаки через OFT-контракт LayerZero. Зловмисник викликав функцію lzReceive на EndpointV2 і вивів 116 500 rsETH на суму близько 293 мільйонів доларів США. Кошти злочинця були попередньо підготовлені за допомогою Tornado Cash.
Протягом 46 хвилин не було вжито жодних дій — це була субота. За цей час атакувальник встиг конвертувати більшу частину коштів у ETH та WETH через Aave V3 і V4, зайнявши понад 236 мільйонів доларів США. Лише після цього команда Kelp DAO активувала паузу основних контрактів — дві наступні спроби експлуатації були заблоковані.
Aave заморозив ринки rsETH на V3 і V4 як захисну заходів. Сам протокол не був зламаний, однак через безнадійні борги, що виникли внаслідок атаки, токен AAVE впав на 18%. У спільноті лунають заклики вивести WETH з Aave V3 Core через побоювання каскадних ліквідацій.