Ein Angreifer drainierte 116.500 rsETH aus Kelp DAOs LayerZero-Bridge im größten DeFi-Exploit von 2026 und löste Notfall-Freezes über Aave, SparkLend und Fluid aus.
Kelp DAO verlor $292 Millionen in rsETH, nachdem ein Angreifer eine Schwachstelle in der LayerZero-gestützten Cross-Chain-Bridge des Protokolls ausnutzte. Dies ist der größte DeFi-Exploit von 2026.
Am 18. April manipulierte ein Angreifer die Cross-Chain-Messaging-Schicht von LayerZero, um die Bridge von Kelp DAO zur Freigabe von 116.500 rsETH zu zwingen, etwa 18% des zirkulierenden Token-Angebots. Der Drain erfolgte um 17:35 UTC durch einen Aufruf der lzReceive-Funktion auf dem EndpointV2-Contract von LayerZero, die die Bridge zur Freigabe von Mitteln an eine vom Angreifer kontrollierte Adresse veranlasste.
Das Emergency-Pauser-Multisig von Kelp fror die Kern-Contracts des Protokolls 46 Minuten später um 18:21 UTC ein. Zwei Folge-Versuche um 18:26 und 18:28 UTC, die jeweils LayerZero-Pakete für weitere 40.000 rsETH im Wert von etwa $100 Millionen trugen, wurden durch das Einfrieren blockiert. Der Angreifer nutzte Tornado Cash zur Finanzierung der initialen Wallet und collateralisierte später die gestohlenen rsETH auf Aave V3, um ETH und WETH zu leihen, bevor er die Erlöse erneut durch Tornado Cash leitete.
Der Exploit ist der größte DeFi-Sicherheitsvorfall dieses Jahres und übertrifft den Drift-Protokoll-Hack um mehrere Millionen Dollar. Kritischer ist, dass der Drain die rsETH-Reserven betraf, die den Token über mehr als 20 Netzwerke sicherten, was Fragen zur Solvenz von rsETH auf Layer-2-Chains aufwirft.
Aave, SparkLend, Fluid und Upshift froren alle rsETH-bezogenen Märkte innerhalb von Stunden als Vorsichtsmaßnahme ein. Der AAVE-Token-Preis fiel danach um etwa 10%. Der Vorfall verstärkt den Druck auf die Debatte über Cross-Chain-Bridge-Sicherheit, die seit den Exploits bei Wormhole und Ronin in den Vorjahren ein wiederkehrendes Schwachstelle-Gebiet für DeFi war. On-Chain-Investigator ZachXBT markierte den Exploit frühzeitig und verfolgten die Bewegungen des Angreifers über DeFi-Kreditmarkte auf Ethereum.
Kelp DAO hat noch keine Post-Mortem veröffentlicht oder offengelegt, ob ein Wiederherstellungsplan im Gange ist. Die wichtigsten Fragen sind nun, ob das Protokoll eine Rückgabe von Mitteln aushandeln kann (wie einige Angreifer in der Vergangenheit getan haben), und wie Aave und andere Kreditprotokolle mit den potenziellen Ausfallrisiken umgehen werden, die durch die Kreditpositionen des Angreifers entstanden. LayerZeros Sicherheitsmodell steht ebenfalls unter Druck, da der Angriff die Messaging-Schicht und nicht die eigenen Smart Contracts von Kelp ausnutzte.
Dies ist eine sich entwickelnde Story. Der $292-Millionen-Exploit von Kelp DAO unterstreicht anhaltende Risiken in der Cross-Chain-Bridge-Infrastruktur, während das breitere DeFi-Ökosystem weiterhin wächst. Betroffene Nutzer sollten offizielle Kanäle von Kelp DAO auf Updates zu Mittel-Wiederherstellungsbemühungen überwachen.
Haftungsausschluss: Nachrichteninhalte dienen nur zu Informationszwecken und sollten nicht als Finanzberatung betrachtet werden. Marktbedingungen können sich schnell ändern. Führen Sie immer Ihre eigene Recherche durch.
