Ein Angreifer soll am 18. April 2026 eine Schwachstelle im rsETH-Liquid-Restaking-Token von KelpDAO ausgenutzt haben und dabei schätzungsweise 280 Millionen US-Dollar oder mehr über Ethereum und Arbitrum abgezogen haben.
Kernaussagen:
- ZachXBT hat am 18. April 2026 einen Diebstahl von 280 Millionen US-Dollar+ über Ethereum- und Arbitrum-DeFi-Protokolle hinweg gemeldet.
- Der Exploit von KelpDAO führte zu einer uneinbringlichen Forderung (Bad Debt) bei Aave V3, wobei der AAVE-Token ungefähr 10–13% fiel.
- KelpDAO hat den Exploit nicht bestätigt; Analysten überwachen sechs identifizierte Angreifer-Wallets, um Hinweise zur Rückverfolgung zu finden.
Ethereum DeFi Exploit: KelpDAO rsETH-Angriff leert über 280 Millionen US-Dollar
Der Onchain-Investigator ZachXBT veröffentlichte den ersten Hinweis auf seinem öffentlichen Telegram-Kanal kurz vor 15 Uhr ET und nannte dabei sechs Wallet-Adressen, die mit dem Diebstahl verbunden sind. Er bemerkte außerdem, dass die Angreifer-Wallets über Tornado Cash finanziert wurden, bevor der Abfluss begann. In seinem Beitrag wurden Verluste von über 280 Millionen US-Dollar über mehrere DeFi-Protokolle hinweg genannt, ohne KelpDAO direkt zu erwähnen, doch Onchain-Analysten verknüpften die Adressen innerhalb weniger Stunden.
„KelpDAO scheint vor einer Stunde auf Ethereum und Arbitrum 280 Millionen US-Dollar+ gestohlen bekommen zu haben“, schrieb ZachXBT. „Die Angriffsadressen wurden über Tornado Cash finanziert.“
Berichten zufolge nutzten die Angreifer einen Fehler in der rsETH-Infrastruktur von KelpDAO aus, wodurch die nicht autorisierte Freigabe einer großen Menge des Liquid-Restaking-Tokens ausgelöst wurde, ohne neues Collateral zu hinterlegen. Das erworbene rsETH wurde anschließend in Aave V3-Lending-Märkten sowohl auf Ethereum als auch auf Arbitrum eingezahlt, wo der Angreifer erhebliche Mengen ETH und anderer Assets dagegen auslieh.
Als die Gültigkeit des Collaterals infrage gestellt wurde, verblieben diese Positionen bei Aave mit Bad Debt. Gemeinschaftsschätzungen der gesamten Verluste lagen zwischen 100 Millionen US-Dollar und rund 293 Millionen US-Dollar, was dem Gegenwert von etwa 116.500 rsETH zu aktuellen Preisen entspricht.
AAVE fiel stark auf die Nachricht hin. Marktdaten zeigen den Rückgang zwischen 10% und 13% innerhalb von Stunden nach dem anfänglichen Hinweis, als der Markt ein mögliches Bad-Debt-Risiko über die Lending-Pools des Protokolls abwog. Das AAVE-Multisig-Guardian fror rsETH auf den Lending-Märkten ein, laut Onchain-Daten.
Liquid-Restaking-Tokens wie rsETH liegen tief in der DeFi-Komposability. Sie werden gleichzeitig als Collateral auf mehreren Lending-Märkten akzeptiert, was bedeutet, dass der Exploit Verluste schnell auf verschiedene Plattformen übertragen kann. Der KelpDAO-Vorfall zeigt genau dieses Risiko.
Die von ZachXBT aufgelisteten Angreifer-Wallets wiesen große ETH-Positionen auf, die bei Aave und Compound gehalten wurden. Eine Adresse allein soll zum Zeitpunkt der Entdeckung etwa 120 Millionen US-Dollar in ETH bei Aave gehalten haben. Die Mittel wurden schnell nach dem Abfluss bewegt.
Die Nutzung von Tornado Cash, um operationalen Wallets vor dem Angriff vorzufinanzieren, ist eine gängige Taktik für Angreifer, um Herkunft zu verschleiern. Sie deutet nicht auf eine neue Technik hin, bestätigt aber, dass die Operation gezielt und geplant war.
Stand etwa 15 Uhr ET am 18. April hatte KelpDAO noch keine offizielle Stellungnahme oder kein Post-Mortem veröffentlicht. Die Community beobachtete für eine Antwort sowohl das X-Konto als auch die Website des Projekts sowie Aave-Governance-Kanäle auf mögliche Notfallmaßnahmen.
DeFi-Sicherheitsfirmen, darunter Peckshield, Slowmist und andere, hatten zum Zeitpunkt der Erstellung noch keine detaillierten Aufschlüsselungen veröffentlicht, was widerspiegelt, wie schnell sich die Lage entwickelt hatte. ZachXBT hatte in öffentlichen Kanälen keinen Follow-up gepostet, der KelpDAO explizit nennt, aber die Adressüberschneidung zog eine klare Linie.
Dieser Vorfall ist getrennt vom Drift-Protocol-Exploit, der erstmals am 1. April 2026 von Bitcoin.com News gemeldet wurde. Dabei wurden ungefähr 280 Millionen US-Dollar abgezogen, hauptsächlich auf Solana, bevor USDC via CCTP auf Ethereum gebrückt wurde. Die Mechaniken, Chains und Zeitlinien sind unterschiedlich.
Wer rsETH oder verwandte Positionen bei Aave, Compound oder anderen Lending-Märkten hielt, wurde von Community-Mitgliedern dazu geraten, die Exponierung zu überprüfen, solange die Situation noch nicht geklärt war.
Die sechs von ZachXBT identifizierten Angreifer-Wallets bleiben aktive Ziele für Onchain-Tracking, während Analysten daran arbeiten, zu kartieren, wohin die Mittel gelangten, nachdem sie Aave verlassen hatten.
Redaktionshinweis: Dieser Artikel wurde um 16 Uhr ET aktualisiert, um darauf hinzuweisen, dass das Aave-Multisig-Guardian rsETH auf bestimmten Lending-Märkten eingefroren hat.
