Berichten zufolge nutzte ein Angreifer am 18. April 2026 eine Schwachstelle bei der Prägung des „rsETH“-Liquid-Restaking-Tokens von KelpDAO aus und erbeutete schätzungsweise 280 Millionen US-Dollar oder mehr über Ethereum und Arbitrum hinweg. Wichtige Erkenntnisse:
ZachXBT macht auf einen KelpDAO-Exploit im Wert von über 280 Millionen Dollar aufmerksam, der die DeFi-Kreditmärkte auf Ethereum trifft
GESCHRIEBEN VON
TEILEN
- ZachXBT meldete am 18. April 2026 einen Diebstahl von über 280 Millionen US-Dollar über Ethereum- und Arbitrum-DeFi-Protokolle hinweg.
- Die rsETH-Minting-Sicherheitslücke von KelpDAO führte zu uneinbringlichen Forderungen bei Aave V3, wobei der AAVE-Token um etwa 10–13 % fiel.
- KelpDAO hat den Exploit nicht bestätigt; Analysten überwachen sechs identifizierte Angreifer-Wallets auf Hinweise zur Wiederbeschaffung.
Ethereum-DeFi-Exploit: KelpDAO-rsETH-Angriff entzieht über 280 Millionen US-Dollar
Der On-Chain-Ermittler ZachXBT veröffentlichte kurz vor 15 Uhr ET die erste Warnung auf seinem öffentlichen Telegram-Kanal, listete sechs mit dem Diebstahl verbundene Wallet-Adressen auf und merkte an, dass die Angreifer-Wallets vor Beginn des Abzugs über Tornado Cash finanziert worden waren. Sein Beitrag erwähnte Verluste von über 280 Millionen US-Dollar über mehrere DeFi-Protokolle hinweg, ohne KelpDAO direkt zu nennen, doch On-Chain-Analysten konnten die Adressen innerhalb weniger Stunden zuordnen.
„KelpDAO scheint vor einer Stunde auf Ethereum und Arbitrum über 280 Millionen Dollar gestohlen worden zu sein“, schrieb ZachXBT. „Die Angriffsadressen wurden über Tornado Cash finanziert.“
Der Angriff folgte einem altbewährten Schema. Berichten zufolge scheinen die Angreifer eine Schwachstelle in der Minting-Logik von rsETH ausgenutzt zu haben, indem sie eine große Menge des Liquid-Restaking-Tokens schufen, ohne angemessene Sicherheiten zu stellen. Dieses aufgeblähte rsETH wurde dann in die Aave-V3-Kreditmärkte sowohl auf Ethereum als auch auf Arbitrum eingezahlt, wo der Angreifer dagegen erhebliche Mengen an ETH und anderen Vermögenswerten aufnahm.
Sobald die Sicherheiten als wertlos erkannt wurden, blieben Aave aus diesen Positionen uneinbringliche Forderungen. Schätzungen der Community bezifferten die Gesamtverluste auf 100 bis rund 293 Millionen US-Dollar, was bei aktuellen Kursen etwa 116.500 ETH entspricht. AAVE verzeichnete nach Bekanntwerden der Nachricht einen starken Kursrückgang. Marktdaten zeigen einen Rückgang zwischen 10 % und 13 % innerhalb weniger Stunden nach der ersten Warnung, da der Markt das potenzielle Ausfallrisiko über die Kreditpools des Protokolls hinweg abwog. Liquide Restaking-Token wie rsETH sind tief in der DeFi-Kompatibilität verankert. Sie werden gleichzeitig auf mehreren Kreditmärkten als Sicherheit akzeptiert, was bedeutet, dass sich durch einen Exploit beim Minting Verluste schnell über verschiedene Plattformen ausbreiten können. Der KelpDAO-Vorfall veranschaulicht dieses Risiko direkt.
Die von ZachXBT aufgeführten Wallets der Angreifer wiesen große ETH-Positionen auf Aave und Compound auf. Eine einzige Adresse hielt Berichten zufolge zum Zeitpunkt der Entdeckung etwa 120 Millionen US-Dollar in ETH auf Aave. Die Gelder wurden nach dem Abzug schnell bewegt.
Die Nutzung von Tornado Cash zur Vorfinanzierung der operativen Wallets vor dem Angriff ist eine Standardtaktik für Angreifer, die versuchen, die Herkunft zu verschleiern. Dies deutet nicht auf eine neue Technik hin, bestätigt jedoch, dass die Aktion absichtlich und geplant war.
Bis etwa 15 Uhr ET am 18. April hatte KelpDAO noch keine offizielle Stellungnahme oder Nachbetrachtung veröffentlicht. Die Community verfolgte den X-Account und die Website des Projekts auf eine Reaktion hin sowie die Aave-Governance-Kanäle auf mögliche Notfallmaßnahmen.
DeFi-Sicherheitsfirmen wie Peckshield, Slowmist und andere hatten zum Zeitpunkt der Erstellung dieses Artikels noch keine detaillierten Analysen veröffentlicht, was zeigt, wie schnell sich die Situation entwickelte. ZachXBT hatte in öffentlichen Kanälen keinen Folgebeitrag veröffentlicht, in dem KelpDAO namentlich genannt wurde, doch die Überschneidung der Adressen zog eine klare Grenze.
Hack des Drift-Protokolls 2026: Was geschah, wer verlor Geld und wie geht es weiter?
Drift Protocol verlor am 1. April 2026 286 Millionen Dollar bei einem 12-minütigen DeFi-Hack auf Solana, der mit Akteuren aus Nordkorea in Verbindung stand und bei dem gefälschte Sicherheiten sowie Social Engineering zum Einsatz kamen. read more.
Jetzt lesen
Hack des Drift-Protokolls 2026: Was geschah, wer verlor Geld und wie geht es weiter?
Drift Protocol verlor am 1. April 2026 286 Millionen Dollar bei einem 12-minütigen DeFi-Hack auf Solana, der mit Akteuren aus Nordkorea in Verbindung stand und bei dem gefälschte Sicherheiten sowie Social Engineering zum Einsatz kamen. read more.
Jetzt lesenHack des Drift-Protokolls 2026: Was geschah, wer verlor Geld und wie geht es weiter?
Jetzt lesenDrift Protocol verlor am 1. April 2026 286 Millionen Dollar bei einem 12-minütigen DeFi-Hack auf Solana, der mit Akteuren aus Nordkorea in Verbindung stand und bei dem gefälschte Sicherheiten sowie Social Engineering zum Einsatz kamen. read more.
Dieser Vorfall ist unabhängig von dem Exploit des Drift-Protokolls, über den Bitcoin.com News erstmals am 1. April 2026 berichtete und bei dem rund 280 Millionen US-Dollar vor allem auf Solana abgezogen wurden, bevor USDC über CCTP auf Ethereum übertragen wurde. Die Mechanismen, Blockchains und Zeitabläufe unterscheiden sich.
Allen, die rsETH oder damit verbundene Positionen auf Aave, Compound oder anderen Kreditmärkten hielten, wurde von Community-Mitgliedern geraten, ihr Engagement zu überprüfen, solange die Situation ungelöst blieb. Die sechs von ZachXBT identifizierten Angreifer-Wallets bleiben aktive Ziele für die On-Chain-Verfolgung, während Analysten daran arbeiten, nachzuverfolgen, wohin die Gelder nach dem Verlassen von Aave geflossen sind.
