Ein Angreifer hat 116.500 rsETH von der LayerZero-Brücke von Kelp DAO abgezogen, was Notfallsperren bei neun Protokollen und einen TVL-Rückgang von 6 Mrd. $ bei Aave auslöste.
Kelp DAO, ein Liquid-Restaking-Protokoll mit einem TVL von 1,57 Milliarden Dollar, verlor am 18. April rund 293 Millionen Dollar, nachdem ein Angreifer eine Schwachstelle in seiner LayerZero-betriebenen Cross-Chain-Brücke ausgenutzt hatte. Damit ist es der größte DeFi-Exploit des Jahres 2026.
Der Angreifer fälschte eine Cross-Chain-Nachricht über die Messaging-Schicht von LayerZero und täuschte die Brücke von Kelp so, dass sie glaubte, eine gültige Anweisung von einem anderen Netzwerk erhalten zu haben. Die Brücke gab daraufhin 116.500 rsETH frei, etwa 18 % des gesamten Umlaufangebots des Tokens, an eine vom Angreifer kontrollierte Adresse.
Innerhalb weniger Minuten wurden die gestohlenen rsETH als Sicherheit auf dem Kreditprotokoll von Aave hinterlegt, wo der Angreifer über 200 Millionen Dollar in Wrapped Ether lieh, bevor die Community die nicht gedeckte Sicherheit bemerkte. Kelp aktivierte seine Notfallkontrollen etwa 46 Minuten nach dem ersten Exploit und fror Einzahlungen, Abhebungen, Oracle-Funktionen und den rsETH-Token selbst ein.
Der Schaden ging weit über Kelp hinaus. Mindestens neun DeFi-Protokolle beeilten sich, Märkte einzufrieren oder Schadenskontrollmaßnahmen zu ergreifen. Aave verzeichnete einen Rückgang des Total Value Locked um 6 Milliarden Dollar, und sein AAVE-Token fiel um 16 %, da Händler das Risiko ungedeckter Sicherheiten in den Kreditpools des Protokolls einpreisten.
Der Exploit verdeutlicht anhaltende Schwachstellen in der Infrastruktur von Cross-Chain-Brücken. Trotz jahrelanger aufsehenerregender Brücken-Hacks erwies sich die LayerZero-Messaging-Schicht, die die Interoperabilität für Dutzende von Protokollen unterstützt, als anfällig für gefälschte Anweisungen. Der Vorfall wirft neue Fragen darüber auf, wie Liquid-Restaking-Protokolle die Brückensicherheit verwalten, wenn sie auf mehrere Chains expandieren.
Analysten schlagen vor, dass der realistischste Weg zur Wiedererlangung eine Verhandlung über eine Prämie von 10-15 % mit dem Hacker ist, um den Großteil der gestohlenen Gelder zurückzuerhalten. Kelp DAO gibt an, mit LayerZero, Prüfern und Sicherheitsfirmen an der Untersuchung der Grundursache zu arbeiten. Aave-Gründer Stani Kulechov bestätigte, dass die Smart Contracts von Aave nicht kompromittiert wurden, aber die rsETH-Märkte auf V3 bleiben bis zur Klärung eingefroren.
Dies ist eine sich entwickelnde Geschichte. Kelp DAO hat die Nutzer aufgefordert, nur offiziellen Kanälen für Updates zu folgen, während die Wiederherstellungsbemühungen fortgesetzt werden.
A CAPO oracle misconfiguration on Aave caused 34 users to lose positions worth $27M, with full reimbursement pledged by the DAO.
Key Aave contributor BGD Labs will end all technical work on April 1, citing centralization concerns and friction with Aave Labs over v4 development.
The DeFi lending protocol faces internal conflict over brand control and fee allocation, triggering a whale sell-off while founder Stani Kulechov buys the dip.
Haftungsausschluss: Nachrichteninhalte dienen nur zu Informationszwecken und sollten nicht als Finanzberatung betrachtet werden. Marktbedingungen können sich schnell ändern. Führen Sie immer Ihre eigene Recherche durch.
