290-Mio.-US-Dollar-Exploit bei Kelp DAO versetzt Ethereum- und Arbitrum-Märkte in Aufruhr
Ein Sicherheitsvorfall im Kelp-DAO-Ökosystem hat die Aktivität auf Ethereum und Arbitrum erschüttert und die Sorge vor Ansteckungseffekten im DeFi-Sektor neu entfacht. Angreifer entwendeten nach ersten Schätzungen mehr als 290 Mio. US-Dollar. Kreditprotokolle reagierten mit Notfallmaßnahmen, um Folgeschäden zu begrenzen.
Im Zentrum stand die rsETH-Crosschain-Bridge, die Liquidität zwischen mehreren Plattformen verbindet und als Baustein für besicherte Kreditgeschäfte dient. Die enge Verzahnung der Protokolle rückte damit in den Fokus: Kompromittierte Assets können in vernetzten Systemen Kaskadeneffekte auslösen.
An den Märkten schlug die Unsicherheit unmittelbar durch. Der Aave-Token gab während der Störung um nahezu 18% nach. Die Bewegung unterstrich die wachsende Vorsicht gegenüber Positionen, die direkt oder indirekt mit dem Vorfall in Verbindung stehen.
Onchain-Forensikern zufolge lag die Ursache nicht in der LayerZero-Infrastruktur, die wegen ihrer Rolle in der Crosschain-Kommunikation zunächst im Blickpunkt stand. Stattdessen wurde ein Peer-Trust-Problem festgestellt: Kompromittierte Schlüssel auf der Source-Chain ermöglichten unautorisierten Zugriff. Der Angreifer brachte einen legitimen Peer-Contract von Kelp DAO unter Kontrolle, konnte so Bridge-Operationen direkt anstoßen und Mittel ohne frühe Erkennung bewegen. Blockchain-Daten deuten zudem darauf hin, dass erste Transaktionen über Tornado Cash finanziert wurden, was die Nachverfolgung vor der Ausführung erschwerte.
Nach dem Abzug der Assets setzte der Exploiter laut Analysten auf eine Hebelstrategie, um die Kontrolle über die Mittel zu verlängern und Liquidität zu ziehen, ohne eine sofortige Liquidation zu riskieren. rsETH wurde in Lending-Plattformen hinterlegt und dagegen Wrapped Ethereum geliehen, wodurch das Exposure stieg und zusätzlicher Druck auf Protokolle entstand, die unsichere Collateral-Bewertungen managen müssen.
Analysten schätzen, dass der Angreifer inzwischen mehr als 106.000 ETH kontrolliert, bewertet mit knapp 250 Mio. US-Dollar. PeckShieldAlert berichtete am 19. April 2026, der Exploiter sei auf Aave der achtgrößte variableDebtEthWETH-Halter auf Ethereum mit 52.443,94 Einheiten (123 Mio. US-Dollar) sowie der viertgrößte variableDebtarbWETH-Halter auf Arbitrum mit 12.381,93 Einheiten (22 Mio. US-Dollar). Die Gesamtposition wurde mit 106.466,7 ETH (rund 250 Mio. US-Dollar) beziffert.
Die Verteilung der Risiken über geliehene Mittel erschwerte die Eindämmung, da die Exponierung nicht bei einem einzelnen Protokoll blieb. Aave fror als Reaktion sämtliche rsETH-Märkte über seine V3- und V4-Deployments ein und deaktivierte Borrowing-Funktionen, um weitere Schäden zu begrenzen und das System zu stabilisieren. Aave-Gründer Stani Kulechov erklärte, die Kern-Smart-Contracts seien weiterhin sicher. Der Vorfall verdeutliche dennoch die Risiken externer Integrationen und Crosschain-Abhängigkeiten.
Der Exploit zeigt, wie schnell sich Risiken in DeFi ausbreiten können, sobald Schwachstellen in gemeinsam genutzter Infrastruktur auftreten – auch wenn Gegenmaßnahmen rasch greifen.
