Naar verluidt heeft een aanvaller op 18 april 2026 misbruik gemaakt van een fout in het minting-proces van KelpDAO’s rsETH-token voor liquid restaking, waardoor naar schatting 280 miljoen dollar of meer is weggehaald uit Ethereum en Arbitrum.
ZachXBT signaleert KelpDAO-exploit van meer dan 280 miljoen dollar die de DeFi-kredietmarkten op Ethereum treft
GESCHREVEN DOOR
DELEN
Belangrijkste punten:
- ZachXBT meldde op 18 april 2026 een diefstal van meer dan 280 miljoen dollar via Ethereum- en Arbitrum DeFi-protocollen.
- De fout in de minting van KelpDAO's rsETH leidde tot slechte schulden op Aave V3, waarbij het AAVE-token met ongeveer 10-13% daalde.
- KelpDAO heeft de exploit niet bevestigd; analisten houden zes geïdentificeerde wallets van de aanvallers in de gaten op zoek naar aanwijzingen voor terugvordering.
Ethereum DeFi-exploit: KelpDAO rsETH-aanval kost meer dan 280 miljoen dollar
Onchain-onderzoeker ZachXBT plaatste kort voor 15.00 uur ET de eerste waarschuwing op zijn openbare Telegram-kanaal, waarin hij zes walletadressen noemde die verband hielden met de diefstal en opmerkte dat de wallets van de aanvallers via Tornado Cash waren gefinancierd voordat de leeghaling begon. In zijn bericht werd melding gemaakt van verliezen van meer dan 280 miljoen dollar verspreid over meerdere DeFi-protocollen, zonder KelpDAO direct te noemen, maar onchain–analisten legden binnen enkele uren het verband tussen de adressen.
"KelpDAO lijkt een uur geleden meer dan 280 miljoen dollar te zijn kwijtgeraakt op Ethereum en Arbitrum," schreef ZachXBT. "De adressen van de aanval werden gefinancierd via Tornado Cash."
De aanval volgde een bekend draaiboek. Volgens rapporten lijken de aanvallers misbruik te hebben gemaakt van een fout in de minting-logica van rsETH, waardoor ze een groot volume van het liquid restaking-token hebben gecreëerd zonder de juiste onderpand te verstrekken. Die opgeblazen rsETH werd vervolgens gestort in de Aave V3-leningmarkten op zowel Ethereum als Arbitrum, waar de aanvaller er aanzienlijke bedragen aan ETH en andere activa tegen leende.
Toen het onderpand als waardeloos werd erkend, bleef Aave met oninbare vorderingen zitten. Schattingen van de gemeenschap van de totale verliezen varieerden van $ 100 miljoen tot ongeveer $ 293 miljoen, het equivalent van ongeveer 116.500 ETH tegen de huidige prijzen.
AAVE daalde scherp na het nieuws. Marktgegevens tonen een daling tussen 10% en 13% binnen enkele uren na de eerste waarschuwing, toen de markt de potentiële blootstelling aan oninbare vorderingen binnen de kredietpools van het protocol inschat.
Liquid restaking-tokens zoals rsETH zitten diep verankerd in de composability van DeFi. Ze worden tegelijkertijd op meerdere kredietmarkten als onderpand geaccepteerd, wat betekent dat een exploit bij het minting van tokens verliezen snel over platforms kan verspreiden. Het KelpDAO-incident illustreert dat risico direct.
De door ZachXBT genoemde wallets van de aanvallers vertoonden grote ETH-posities op Aave en Compound. Eén adres alleen al had naar verluidt op het moment van detectie ongeveer $ 120 miljoen aan ETH op Aave. Het geld werd snel verplaatst na de uitputting.
Het gebruik van Tornado Cash om operationele wallets vooraf te financieren vóór de aanval is een standaardtactiek voor aanvallers die de herkomst willen verdoezelen. Het duidt niet op een nieuwe techniek, maar het bevestigt dat de operatie opzettelijk en gepland was.
Op 18 april om ongeveer 15.00 uur ET had KelpDAO nog geen officiële verklaring of post-mortem gepubliceerd. De community hield het X-account en de website van het project in de gaten voor een reactie, evenals de Aave-governancekanalen voor eventuele noodmaatregelen.
DeFi-beveiligingsbedrijven, waaronder Peckshield, Slowmist en anderen, hadden op het moment van schrijven nog geen gedetailleerde analyses gepubliceerd, wat aangeeft hoe snel de situatie zich ontwikkelde. ZachXBT had geen vervolgbericht geplaatst waarin KelpDAO specifiek werd genoemd in openbare kanalen, maar de adresoverlap trok een duidelijke lijn.
De hack van Drift Protocol in 2026: wat er gebeurde, wie er geld verloor en wat de toekomst brengt
Drift Protocol leed op 1 april 2026 een verlies van 286 miljoen dollar als gevolg van een 12 minuten durende hack op het Solana DeFi-platform, waarbij actoren uit Noord-Korea gebruik maakten van vals onderpand en social engineering. read more.
Lees nu
De hack van Drift Protocol in 2026: wat er gebeurde, wie er geld verloor en wat de toekomst brengt
Drift Protocol leed op 1 april 2026 een verlies van 286 miljoen dollar als gevolg van een 12 minuten durende hack op het Solana DeFi-platform, waarbij actoren uit Noord-Korea gebruik maakten van vals onderpand en social engineering. read more.
Lees nuDe hack van Drift Protocol in 2026: wat er gebeurde, wie er geld verloor en wat de toekomst brengt
Lees nuDrift Protocol leed op 1 april 2026 een verlies van 286 miljoen dollar als gevolg van een 12 minuten durende hack op het Solana DeFi-platform, waarbij actoren uit Noord-Korea gebruik maakten van vals onderpand en social engineering. read more.
Dit incident staat los van de Drift Protocol-exploit die voor het eerst werd gemeld door Bitcoin.com News op 1 april 2026, waarbij ongeveer 280 miljoen dollar werd weggesluisd, voornamelijk op Solana, voordat USDC via CCTP naar Ethereum werd overgezet. De mechanismen, ketens en tijdlijnen zijn verschillend.
Iedereen die rsETH of gerelateerde posities op Aave, Compound of andere kredietmarkten aanhield, werd door leden van de community geadviseerd om de blootstelling te herzien zolang de situatie onopgelost bleef.
De zes door ZachXBT geïdentificeerde wallets van de aanvallers blijven actieve doelen voor on-chain-tracering, terwijl analisten bezig zijn in kaart te brengen waar de fondsen naartoe zijn gegaan nadat ze Aave hadden verlaten.
