Back to Panoptic ProtocolΕπιστροφή στην Αρχική

Exploit Post-Mortem · Apr 19, 2026Post-Mortem · 19 Απρ 2026

KelpDAO Hack — $510M Erased in 46 MinutesKelpDAO Hack — $510M σε 46 Λεπτά

A hacker exploited a weak bridge, printed $293M in fake tokens, and borrowed $217M nobody will repay — sparking a $5.4B run on Aave. Here's how.Ένας hacker βρήκε μια αδύναμη γέφυρα, έφτιαξε $293M ψεύτικα tokens, και δανείστηκε $217M που κανείς δεν θα ξεπληρώσει — προκαλώντας $5.4B run στο Aave. Ιδού πώς.

April 19, 2026 Panoptic Protocol 5 min read5 λεπτά

StolenΚλεμμένα

$293M

116,500 rsETH116,500 rsETH

Bad debtΚακό χρέος

$217M

Aave + Comp + EulerAave + Comp + Euler

WindowΧρόνος

46 min

Mint → PauseMint → Pause

Bank runBank run

$5.4B

ETH pulled from AaveETH από Aave

Too long; didn't readΠολύ μεγάλο; Δεν διάβασα

1A hacker printed 116,500 fake rsETH using a weak bridge.Ένας hacker έφτιαξε 116,500 ψεύτικα rsETH από αδύναμη γέφυρα.

2He used them as collateral on Aave, Compound, Euler — borrowed real ETH — left.Τα χρησιμοποίησε ως εγγύηση σε Aave, Compound, Euler — δανείστηκε αληθινό ETH — έφυγε.

3Aave took the worst hit: $177M of loans that'll never be repaid.Το Aave χτυπήθηκε χειρότερα: $177M δάνεια που δεν θα γυρίσουν.

4Users panicked. $5.4B pulled from Aave in 12 hours. TVL: $26.4B → $20B.Πανικός. $5.4B τραβήχτηκαν από Aave σε 12 ώρες. TVL: $26.4B → $20B.

5Third-largest bridge hack ever. AAVE −21.2%, ZRO −17.7%.Τρίτο μεγαλύτερο bridge hack ποτέ. AAVE −21.2%, ZRO −17.7%.

🧪What is KelpDAO, and why did this matter?Τι είναι το KelpDAO και γιατί μετράει;

Background in 60 secondsΣε 60 δευτερόλεπτα

KelpDAO let you deposit ETH and get back rsETH — a receipt token worth about 1 ETH that you could use as collateral elsewhere. It held $1.57B. 300,000 users. A blue chip.Το KelpDAO σου επέτρεπε να καταθέσεις ETH και να πάρεις rsETH — ένα token που άξιζε περίπου 1 ETH και μπορούσες να το χρησιμοποιήσεις ως εγγύηση αλλού. Είχε $1.57B, 300,000 χρήστες. Blue chip.

To move rsETH between chains, KelpDAO used a LayerZero bridge. The bridge is guarded by a network of verifiers — like a multisig.Για να μεταφέρει rsETH μεταξύ αλυσίδων, χρησιμοποιούσε μια γέφυρα LayerZero. Η γέφυρα φυλάγεται από ένα δίκτυο verifiers — σαν multisig.

KelpDAO hired only 1 verifier. Not five. Not three. One. That's the whole hack.Το KelpDAO έβαλε μόνο 1 verifier. Όχι πέντε. Όχι τρεις. Έναν. Αυτή είναι όλη η ιστορία.

Translation: a bridge needs multiple guards. KelpDAO had one. When that guard's key was stolen, the attacker could print unlimited fake rsETH.Μετάφραση: μια γέφυρα θέλει πολλούς φύλακες. Το KelpDAO είχε έναν. Όταν κλάπηκε το κλειδί του, ο hacker μπορούσε να κόψει όσα ψεύτικα rsETH ήθελε.

⏱️The 46-minute kill chainΗ αλυσίδα των 46 λεπτών

Minute by minute · April 18, 2026 UTCΛεπτό προς λεπτό · 18 Απρ 2026 UTC

TimeEvent

17:35Attacker forges a signature. 116,500 fake rsETH appear out of nowhere (~$293M).Ο hacker πλαστογραφεί υπογραφή. 116,500 ψεύτικα rsETH εμφανίζονται (~$293M).

17:36–18:05Fakes deposited on Aave, Compound, Euler. Attacker borrows real ETH against them.Τα ψεύτικα κατατίθενται σε Aave, Compound, Euler. Δανείζεται αληθινό ETH.

18:05–18:20Attacker moves the ETH out through 6 wallets funded via Tornado Cash.Βγάζει το ETH μέσω 6 πορτοφολιών από Tornado Cash.

18:21KelpDAO emergency pause activated. 46 minutes after the first mint.Επείγον pause του KelpDAO ενεργοποιείται. 46 λεπτά μετά το πρώτο mint.

18:26–18:28Two more drain attempts blocked. $101M additional theft prevented.Δύο ακόμη απόπειρες μπλοκάρονται. $101M επιπλέον κλοπή αποτράπηκε.

Translation: 46 minutes from first fake mint to pause. If they'd paused at minute 20, damage would've been $80M, not $217M. Being slow cost $137M.Μετάφραση: 46 λεπτά από το πρώτο fake mint μέχρι το pause. Αν είχαν σταματήσει στο 20ό λεπτό, η ζημιά θα ήταν $80M, όχι $217M. Η καθυστέρηση κόστισε $137M.

💥Where the damage landedΠού έπεσε η ζημιά

Bad debt by protocolΚακό χρέος ανά πρωτόκολλο

Aave V3

$177M

Bad debtΚακό χρέος

Biggest bad debt in Aave's history. Risk settings were way too loose.Το μεγαλύτερο bad debt στην ιστορία του Aave. Οι ρυθμίσεις ρίσκου ήταν πολύ χαλαρές.

Compound V3

$39.4M

Bad debtΚακό χρέος

Compound's worst hit since the Iron Bank exploit in 2022.Το χειρότερο χτύπημα του Compound από την Iron Bank (2022).

Euler

$0.84M

Bad debtΚακό χρέος

Tight risk limits saved them. Almost untouched.Τα σφιχτά όρια ρίσκου τους έσωσαν. Σχεδόν άθικτοι.

Translation: the attacker didn't rob KelpDAO directly — he robbed the lenders that accepted KelpDAO's token. Aave took 81% of the damage because its rules were loosest.Μετάφραση: ο hacker δεν έκλεψε από το KelpDAO — έκλεψε από όσους δέχτηκαν το token του ως εγγύηση. Το Aave έφαγε 81% γιατί είχε τους χαλαρότερους κανόνες.

☂️Aave's insurance wasn't enoughΗ ασφάλεια του Aave δεν έφτανε

Umbrella coverage vs actual holeUmbrella coverage vs πραγματική τρύπα

The $127M ShortfallΤο Έλλειμμα των $127M

$50M

Insurance hadΑσφάλεια είχε

$177M

Aave holeΤρύπα Aave

$127M

Uninsured gapΑκάλυπτο κενό

Translation: Aave's insurance covered $50M. The hole was $177M. That leaves a $127M gap that someone has to pay — probably AAVE holders through a vote.Μετάφραση: Η ασφάλεια κάλυπτε $50M. Η τρύπα ήταν $177M. Μένει $127M κενό που κάποιος πρέπει να πληρώσει — πιθανότατα οι AAVE holders.

🚩The warning nobody acted onΗ προειδοποίηση που αγνόησαν

April 9 · 9 days before the hack9 Απρ · 9 μέρες πριν το hack

9 days before the hack, a researcher published this warning:9 μέρες πριν το hack, ένας ερευνητής δημοσίευσε αυτή την προειδοποίηση:

• $332M of rsETH sat on Aave as collateral
• Only $5M was available on-chain to absorb sales
• Ratio: 66× — any shock would cause bad debt• $332M rsETH ως εγγύηση στο Aave
• Μόνο $5M διαθέσιμα για πωλήσεις
• Αναλογία: 66× — κάθε σοκ = bad debt

The Aave Risk Committee read it. They did nothing. For 9 more days, the $332M stayed exposed.Η Risk Committee του Aave το είδε. Δεν έκανε τίποτα. Για 9 ακόμη μέρες, τα $332M έμειναν εκτεθειμένα.

Then April 18 happened. The warning was right — just wrong about the trigger. Same outcome.Μετά ήρθε 18 Απρ. Η προειδοποίηση ήταν σωστή — απλά λάθος το trigger. Ίδιο αποτέλεσμα.

📉Token carnageΣφαγή στα tokens

Price impact April 17 → April 19Επίδραση στην τιμή 17 → 19 Απρ

AAVE

−21.2%

$115.24 → $90.84

−$371M mcap−$371M mcap

ZRO

−17.7%

$1.98 → $1.63

−$88.5M mcap−$88.5M mcap

ETH

−5.7%

$2,450 → $2,309

Bank run sellingBank run πώληση

Translation: Aave lost a fifth of its value in a day. LayerZero got hit too — its code wasn't broken, but the market doesn't always separate the innocent from the guilty.Μετάφραση: το Aave έχασε το 1/5 της αξίας του σε μία μέρα. Το LayerZero χτυπήθηκε κι αυτό — ο κώδικας δεν έσπασε, αλλά η αγορά δεν ξεχωρίζει πάντα αθώους από ενόχους.

🏃The bank runΤο bank run

$5.4B out of Aave in 12 hours$5.4B έξω από το Aave σε 12 ώρες

News hit X within minutes. Users ran for the exits:Η είδηση χτύπησε το X μέσα σε λεπτά. Οι χρήστες έτρεξαν προς την έξοδο:

• $5.4B in ETH withdrawn in 12 hours
• Aave's ETH pool hit 100% — no liquidity left
• TVL: $26.4B → $20B in one day
• Justin Sun alone pulled $154M• $5.4B ETH τραβήχτηκαν σε 12 ώρες
• Το pool του Aave πήγε 100% — μηδέν ρευστότητα
• TVL: $26.4B → $20B σε μία μέρα
• Ο Justin Sun μόνος τράβηξε $154M

At 100%, you can only withdraw as borrowers repay. A queue forms. The queue fuels panic. Worst stress test since March 2020.Στο 100%, ανακαλείς μόνο καθώς αποπληρώνουν οι δανειζόμενοι. Σχηματίζεται ουρά. Η ουρά φουντώνει τον πανικό. Το χειρότερο stress test από Μάρτιο 2020.

🏛️Where this ranks in bridge-hack historyΗ θέση του στην ιστορία των bridge hacks

Top bridge exploits ever · stolen amountTop bridge hacks ποτέ · κλεμμένο ποσό

# Protocol Amount Date

1 Ronin Network $624M Mar 2022

2 Poly Network $611M Aug 2021

3 KelpDAO $293M Apr 2026

4 Wormhole $326M Feb 2022

5 Nomad $190M Aug 2022

Translation: the third-largest bridge hack ever — and the biggest since 2022. Ronin and Poly could recover funds through centralized means. KelpDAO can't.Μετάφραση: το τρίτο μεγαλύτερο bridge hack ποτέ — και το μεγαλύτερο από το 2022. Τα Ronin και Poly μπορούσαν να ανακτήσουν λεφτά. Το KelpDAO όχι.

⚖️Who's responsibleΠοιος φταίει

The chain of failuresΗ αλυσίδα αποτυχιών

Party · Failure Severity

KelpDAO team

Ran a bridge with only one guard. No audit.Έτρεξε γέφυρα με έναν μόνο φύλακα. Χωρίς audit.

CriticalΚρίσιμο

Aave governance

Voted to let users borrow 93% of their rsETH value — the highest risk ever.Ψήφισε 93% LTV για rsETH — το υψηλότερο ρίσκο ποτέ.

CriticalΚρίσιμο

Aave Risk Committee

Got the April 9 warning. Did nothing for 9 days.Πήρε την προειδοποίηση 9 Απρ. Δεν έκανε τίποτα για 9 μέρες.

HighΥψηλό

Chaos Labs

Paid $2.4M a year to manage risk. Never checked the bridge.$2.4M/χρόνο για διαχείριση ρίσκου. Ποτέ δεν έλεγξε τη γέφυρα.

HighΥψηλό

Marc Zeller (ACI)

Pushed the risky 93% vote. Quit ACI 24 hours after the hack.Πίεσε την ψηφοφορία 93%. Παραιτήθηκε από ACI 24 ώρες μετά.

IndirectΈμμεσο

LayerZero (ZRO)

Recommended multiple guards. But allowed apps to use just one.Συνέστησε πολλούς φύλακες. Αλλά επέτρεπε και έναν.

IndirectΈμμεσο

🎲How does the $217M hole get filled?Πώς κλείνει η τρύπα των $217M;

Four recovery paths · probabilitiesΤέσσερις δρόμοι ανάκαμψης · πιθανότητες

Most likelyΠιο πιθανό

60–70%

AAVE holders payAAVE holders πληρώνουν

The loss gets spread across everyone who holds AAVE.Η ζημιά μοιράζεται σε όλους τους AAVE holders.

MaybeΊσως

15–25%

Attacker bountyBounty στον attacker

Attacker returns 80–90%. Unlikely if state-sponsored.Ο hacker επιστρέφει 80–90%. Απίθανο αν είναι κρατικός.

MaybeΊσως

10–20%

KernelDAO backstopKernelDAO backstop

Kelp's parent covers Compound + Euler (~$40M).Ο μητρικός του Kelp καλύπτει Compound + Euler (~$40M).

UnlikelyΑπίθανο

5–10%

Aave absorbsAave αναλαμβάνει

Aave pays from its own revenue over 18–24 months.Το Aave πληρώνει από τα έσοδά του σε 18–24 μήνες.

Translation: AAVE holders will probably pay. If you hold AAVE, a vote in the next few weeks likely takes ~$127M out of your pocket to close the gap.Μετάφραση: οι AAVE holders πιθανότατα θα πληρώσουν. Ψηφοφορία τις επόμενες βδομάδες πιθανόν σου κοστίσει ~$127M για να κλείσει η τρύπα.

🧮The damage, totaledΗ συνολική ζημιά

Total economic damageΣυνολική οικονομική ζημιά

$510M

$293M stolen + $217M bad debt$293M κλεμμένα + $217M κακό χρέος

Translation: attacker walked with $293M. Lenders stuck with $217M that'll never come back. Total: half a billion, gone in 46 minutes.Μετάφραση: ο hacker πήρε $293M. Οι δανειστές έμειναν με $217M που δεν θα γυρίσουν. Σύνολο: μισό δις, σε 46 λεπτά.

What changed foreverΤι άλλαξε για πάντα

The "rsETH is basically ETH" thesis is dead.Η θέση "το rsETH είναι σχεδόν ETH" είναι νεκρή.

Bridge audits are now mandatory, not optional.Τα bridge audits είναι πλέον υποχρεωτικά, όχι προαιρετικά.

Aave V4 was ready 18 days too late. Aave V3 paid the bill.Το Aave V4 ήρθε 18 μέρες αργά. Το Aave V3 πλήρωσε.

NFA · DYOR · Composability risk is realΤο composability risk είναι υπαρκτό

Donations are optionalΟι δωρεές είναι προαιρετικές

XMR 44qUeP6b4XbDBufKG9b35matsfR9A3MvZBLRCxUJRh1gGtEQYaAfD5ZTYGg11WYvKo7SUQhirBnTj7v9yfryjZyr4msVH7t

Disclaimer: Educational only. Not investment advice. Data as of April 19, 2026. Sources: DefiLlama hack database, Aave governance portal, LayerZero post-mortem, on-chain analysis via ZachXBT. Αποποίηση: Μόνο εκπαιδευτικά. Όχι επενδυτική συμβουλή. Δεδομένα 19 Απρ 2026. Πηγές: DefiLlama, Aave governance portal, LayerZero post-mortem, on-chain ανάλυση μέσω ZachXBT.