Hackern, die mit der TraderTraitor-Gruppe aus Nordkorea in Verbindung stehen, ist es gelungen, nahezu alle der 220 Millionen US-Dollar an eingefrorenen Mitteln, die beim Kelp-DAO-Bridge-Exploit im April 2026 gestohlen wurden, zu waschen. Damit sind die direkten Rückholbemühungen faktisch beendet. Die Angreifer verlagerten die Vermögenswerte über ein komplexes Netzwerk, darunter THORChain, Wasabi CoinJoin, Tornado Cash und Umbra, sodass laut On-Chain-Analysten nur noch ungefähr 1,7 Millionen US-Dollar in den ursprünglichen Wallets nachvollziehbar sind. Die Geldwäsche folgte auf eine LayerZero-Bridge-Schwachstelle, die zu rund 292 Millionen US-Dollar Beute führte. Der Security Council von Arbitrum fror ETH im Gegenwert von 71 Millionen US-Dollar ein, während die restlichen 220 Millionen US-Dollar für die Angreifer weiterhin zugänglich blieben. Die ausgeklügelte Verlagerung von Geldern zeigt die zunehmenden Fähigkeiten staatlich unterstützter Bedrohungsakteure, sich durch mehrere Blockchain-Netzwerke und Privacy-Protokolle zu navigieren. Der Vorfall macht auf anhaltende Sicherheitslücken bei Bridges aufmerksam, während die Kryptoindustrie einer Welle großer Angriffe auf Cross-Chain-Infrastrukturen gegenübersteht.
TraderTraitor-Gruppe wusch $220M über Multi-Chain-Privacy-Netzwerke
Der Kelp-DAO-Exploit ereignete sich im April 2026 und führte durch eine LayerZero-Bridge-Schwachstelle dazu, dass rund 292 Millionen US-Dollar gestohlen wurden. Nach dem Angriff fror der Security Council von Arbitrum rund 71 Millionen US-Dollar ETH ein, doch die restlichen 220 Millionen US-Dollar blieben für die Angreifer zugänglich.
Laut Berichten von Arkham Intelligence und anderen Blockchain-Ermittlern bewegten die Hacker die Gelder über ein komplexes Geldwäsche-Netzwerk, das THORChain, Wasabi CoinJoin, Tornado Cash und Umbra umfasste. Ermittler schätzen mittlerweile, dass nur noch 1,7 Millionen US-Dollar in den ursprünglichen Wallets verbleiben.
On-Chain-Daten zeigen, dass die Angreifer mehr als 75.000 ETH in neu erstellte Wallets transferierten. Von dort aus wanderten die Mittel über mehrere privacy-fokussierte Plattformen und Cross-Chain-Dienste. Analysten sagten, die Operation habe Bitcoin-Mixing-Services mit Ethereum-Privacy-Tools kombiniert, wodurch die Nachverfolgung von Transaktionen deutlich erschwert worden sei.
Die Nutzung von THORChain rückte besonders in den Fokus, da das Protokoll Berichten zufolge ungewöhnlich hohe Volumina verarbeitet haben soll, als die gestohlenen Assets zwischen den Ketten bewegt wurden. Sicherheitsexperten brachten den Angriff mit TraderTraitor in Verbindung, einer nordkoreanischen Cyber-Gruppe, die auch als UNC4899 bekannt ist. Die Gruppe war bereits zuvor mit mehreren großen Krypto-Diebstählen assoziiert.
Arbitrum fror $71M in rechtlichen Verfahren ein
Die eingefrorenen Gelder bleiben eine mögliche Quelle für Rückholungen. Der Arbitrum-Freeze sperrte kurz nach dem Angriff rund 71 Millionen US-Dollar in ETH. Allerdings sind diese Assets mittlerweile in laufenden Gerichtsverfahren gebunden.
Familien, die Terrorismus-Urteile gegen Nordkorea erwirkt haben, haben Ansprüche in Bezug auf die eingefrorenen Gelder eingereicht. Dadurch bleibt das endgültige Ergebnis ungewiss.
Kelp DAO schloss User Remediation ab und wechselte zu Chainlink CCIP
Kelp DAO schloss seine User-Remediation-Prozesse nach dem Exploit ab. Das Protokoll migrierte rsETH-Bridge-Operationen zu Chainlink CCIP und arbeitete mit Branchenpartnern zusammen, um die betroffenen Nutzer wiederherzustellen.
Der Vorfall vermittelt wichtige Lehren sowohl für Entwickler als auch für Investoren. In den vergangenen Monaten hat die Kryptoindustrie eine Welle großer Angriffe erlebt, die sich gegen Bridges, Infrastruktur-Provider und DeFi-Protokolle richteten. Vorfälle rund um Radiant, Wormhole und Kelp DAO haben kritische Sicherheitslücken offengelegt.
Für Entwickler unterstreicht der Angriff den Bedarf an stärkerer Bridge-Sicherheit, Multi-Layer-Validierungssystemen und verbesserten Monitoring-Tools. Für Investoren zeigt der Exploit das wachsende Risiko im Zusammenhang mit Cross-Chain-Infrastrukturen.
Die zunehmende Einbindung staatlich unterstützter Gruppen wirft zudem Bedenken hinsichtlich zukünftiger Rückholbemühungen auf. Sobald gestohlene Assets über mehrere Ketten und Privacy-Services gewandert sind, wird die Wiedererlangung von Geldern deutlich schwieriger.
FAQ
Was ist beim Kelp-DAO-Exploit im April 2026 passiert?
Der Kelp-DAO-Exploit ereignete sich im April 2026 durch eine LayerZero-Bridge-Schwachstelle und führte dazu, dass rund 292 Millionen US-Dollar gestohlen wurden. Der Security Council von Arbitrum fror etwa 71 Millionen US-Dollar ETH ein, während die restlichen 220 Millionen US-Dollar weiterhin für Angreifer zugänglich blieben, die der TraderTraitor-Gruppe aus Nordkorea zugeordnet werden (auch bekannt als UNC4899).
Wie haben die Hacker die gestohlenen Kelp-DAO-Gelder gewaschen?
Die Hacker bewegten die Gelder über ein komplexes Geldwäsche-Netzwerk, das THORChain, Wasabi CoinJoin, Tornado Cash und Umbra umfasste. On-Chain-Daten zeigen, dass die Angreifer mehr als 75.000 ETH in neu erstellte Wallets transferierten und Bitcoin-Mixing-Services mit Ethereum-Privacy-Tools kombinierten. Nur ungefähr 1,7 Millionen US-Dollar bleiben in den ursprünglichen Wallets noch nachvollziehbar.
Wie ist der Status der von Arbitrum eingefrorenen 71 Millionen US-Dollar?
Die 71 Millionen US-Dollar in ETH, die der Security Council von Arbitrum kurz nach dem Angriff eingefroren hat, sind weiterhin in laufenden Gerichtsverfahren gebunden. Familien, die Terrorismus-Urteile gegen Nordkorea erwirkt haben, haben Ansprüche in Bezug auf die eingefrorenen Gelder eingereicht, und das endgültige Ergebnis bleibt ungewiss.
