Kelp DAO gehackt voor $292 miljoen: grootste DeFi-exploit van 2026 treft 20+ netwerken
Een aanvaller drainde 116.500 rsETH uit Kelp DAO's bridge via LayerZero. De schade golft door 20+ netwerken en legt systeemrisico's bloot.
116.500 rsETH verdween zaterdag 19 april 2026 om 17:35 UTC uit de bridge van Kelp DAO. De buit is circa $292 miljoen waard, goed voor ongeveer 18% van het totale circulerende aanbod van de rsETH-token. Het is de grootste DeFi-hack van 2026 tot nu toe.
Wat er precies gebeurde
Kelp DAO is een zogenaamd liquid restaking protocol. Gebruikers storten ETH via het EigenLayer-systeem en ontvangen daarvoor rsETH, een verhandelbaar ontvangstbewijs. Die rsETH kan vervolgens worden ingezet op andere netwerken, waardoor gebruikers extra rendement opstapelen bovenop de standaard Ethereum staking rewards.
Om rsETH beschikbaar te maken op meer dan 20 verschillende netwerken, maakt Kelp DAO gebruik van een cross-chain bridge, aangedreven door LayerZero. Een cross-chain bridge is een stuk infrastructuur dat geverifieerde instructies stuurt tussen verschillende blockchains, zoals een koeriersdienst die berichten overdraagt tussen landen met elk een eigen postnetwerk.
De aanvaller wist LayerZero's messaging-laag te misleiden. Het systeem interpreteerde een valide instructie, terwijl die instructie in werkelijkheid frauduleus was. Daardoor werd 116.500 rsETH vanuit de bridge gedraind, zo bevestigde Kelp DAO in een officieel statement.
Het domino-effect door DeFi
De schade bleef niet beperkt tot Kelp DAO zelf. De bridge hield de reserves die rsETH op al die netwerken backten: zonder die reserves is de backing van iedere rsETH-token op al die laag-2 netwerken in twijfel getrokken.
De reactie volgde snel. Aave, SparkLend, Fluid en Upshift activeerden zogenaamde emergency freezes, contractpauzes die voorkomen dat gebruikers verdere transacties uitvoeren met rsETH als onderpand. Die maatregel beschermt andere gebruikers, maar blokkeert tegelijk de toegang tot posities voor iedereen die rsETH had ingezet.
Daarnaast staat de peg van rsETH onder zware druk. Kelp DAO's vermogen om uitstaande rsETH-tokens te verzilveren (redemptions) is door de drain ernstig in het geding, aldus technisch verslag van CoinDesk.
Een bekend zwakke schakel
Cross-chain bridges gelden al jaren als het meest kwetsbare onderdeel van het DeFi-ecosysteem. De Ronin Bridge-hack in 2022 kostte circa $625 miljoen; de Wormhole-exploit dat zelfde jaar liep op tot $320 miljoen. Het patroon is consistent: hoe meer netwerken een bridge verbindt, hoe groter het aanvalsoppervlak.
Liquid restaking is een aanzienlijk nieuwere categorie, sterk gegroeid door de opkomst van EigenLayer. De sector trekt kapitaal aan met de belofte van gestapelde yields, maar de complexiteit van die constructies, ETH dat via meerdere lagen van protocollen en bridges stroomt, vergroot ook de risico's. Een fout of zwakheid in één schakel, zoals hier de messaging-laag van LayerZero, kan via tientallen afhankelijke netwerken doorwerken.
Wat volgt
Kelp DAO moet nu publiek uitleggen hoe het de schade vergoedt of beheert, en of het protocol de reserves kan aanvullen. De druk op de rsETH-peg en de bevroren posities bij Aave en SparkLend maken een snelle communicatie urgent. Tegelijk staat de bredere DeFi-sector voor een hernieuwd vertrouwensvraagstuk: als een bridge van deze omvang misleid kan worden, welk veiligheidsmodel biedt dan voldoende garantie voor liquid restaking op meerdere ketens?
Bronnen: Kelp DAO, CoinGecko, CoinDesk
Dit artikel is uitsluitend bedoeld ter informatie en vormt geen financieel, beleggings- of fiscaal advies. Today in Finance is geen beleggingsonderneming en beschikt niet over een vergunning als bedoeld in de Wet op het financieel toezicht (Wft). Raadpleeg altijd een gekwalificeerd financieel adviseur voordat je financiele beslissingen neemt. Today in Finance is niet aansprakelijk voor beslissingen genomen op basis van deze informatie.
Cryptovaluta zijn niet gereguleerd en zeer volatiel. Je kunt je volledige inleg verliezen.
