Der größte Krypto-Exploit des Jahres 2026: Kelp DAO erzielte einen Gewinn von 292 Millionen US-Dollar mit verpacktem Ether, der über 20 Ketten gestrandet war
Eine Cross-Chain-Brücke, die fast ein Fünftel des zirkulierenden Vorrats eines neu eingesetzten Ether-Tokens hält, wurde gerade erschöpft, und die Auswirkungen breiten sich schneller durch DeFi aus, als Kelp DAO Verträge pausieren kann.
Ein Angreifer hat am Samstag um 17:35 UTC 116.500 rsETH (neu abgesteckter Ether) von der LayerZero-betriebenen Brücke von Kelp DAO abgezogen, was zu aktuellen Preisen etwa 292 Millionen US-Dollar wert ist und etwa 18 % des von CoinGecko verfolgten zirkulierenden Angebots an 630.000 rsETH-Token ausmacht.
LayerZero ist eine kettenübergreifende Nachrichtenschicht oder die Infrastruktur, die es verschiedenen Blockchains ermöglicht, einander verifizierte Anweisungen zu senden. Kelp DAO ist ein liquides Restaking-Protokoll, das vom Benutzer eingezahlte $ETH entgegennimmt, diese über EigenLayer weiterleitet, um zusätzlich zu den Standard-Ethereum-Einsatzprämien zusätzliche Erträge zu erzielen, und rsETH als handelbare Quittung ausgibt.
Die entleerte Brücke enthielt die mit rsETH-Reserven gesicherten Versionen des Tokens, die auf mehr als 20 anderen Blockchains eingesetzt wurden.
Der Angreifer täuschte die kettenübergreifende Nachrichtenschicht von LayerZero vor und glaubte, dass eine gültige Anweisung von einem anderen Netzwerk eingetroffen sei, was Kelps Brücke dazu veranlasste, 116.500 rsETH an eine vom Angreifer kontrollierte Adresse freizugeben.
Kelps Notfall-Pause-Multisig fror die Kernverträge des Protokolls 46 Minuten nach dem erfolgreichen Entleeren um 18:21 UTC ein. Zwei Folgeversuche um 18:26 UTC und 18:28 UTC scheiterten beide, wobei jeder das gleiche LayerZero-Paket enthielt und einen weiteren 40.000 rsETH-Abzug im Wert von etwa 100 Millionen US-Dollar versuchte.
rsETH wird in mehr als 20 Netzwerken eingesetzt, darunter Base, Arbitrum, Linea, Blast, Mantle und Scroll, wobei der OFT-Standard von LayerZero die kettenübergreifende Bewegung übernimmt.
Der in der Brücke gehaltene rsETH war die Reserve, die verpackte Versionen auf jeder Layer-2-Blockchain oder Netzwerken, die auf Ethereum laufen, sicherte.
Nachdem diese Reserve erschöpft ist, stehen Inhaber von Nicht-Ethereum-Einsätzen nun vor der Frage, ob sich unter ihren Tokens etwas befindet, was zu einer Rückkopplungsschleife führt, in der panische Rücknahmen auf L2s das nicht betroffene Ethereum-Angebot unter Druck setzen und Kelp möglicherweise dazu zwingen, erneute Positionen aufzulösen, um Abhebungen zu berücksichtigen.
Die Ansteckungsliste ist lang und wächst weiter.
Aave fror die rsETH-Märkte auf V3 und V4 innerhalb weniger Stunden ein, wobei Gründer Stani Kulechov bestätigte, dass der Exploit extern war und die Verträge von Aave nicht kompromittiert wurden. SparkLend und Fluid haben ihre rsETH-Märkte eingefroren.
AAVE fiel um etwa 10 %, da der Markt potenzielle Forderungsausfälle einschätzte.
Lido Finance hat weitere Einzahlungen in sein EarnETH-Produkt ausgesetzt, das ein Risiko für rsETH mit sich bringt, und stellte gleichzeitig klar, dass stETH und wstETH davon nicht betroffen sind und das zentrale Lido-Absteckprotokoll nicht an dem Vorfall beteiligt ist.
Ethena hat vorsorglich seine LayerZero OFT-Brücken vom Ethereum-Mainnet vorübergehend pausiert und erklärt, dass es kein rsETH-Risiko habe und weiterhin zu mehr als 101 % überbesichert sei. Der Stablecoin-Emittent sagte, die Pause werde etwa sechs Stunden dauern, bis die Grundursache ermittelt sei.
Kelp, ein Produkt unter dem Dach von KernelDAO, bestätigte den Vorfall in seinem ersten öffentlichen X-Beitrag um 20:10 UTC, fast drei Stunden nach dem Abfluss. Das Protokoll gab an, dass es Untersuchungen mit LayerZero, Unichain, seinen Prüfern und externen Sicherheitsspezialisten durchführe. Es wurde nicht bekannt gegeben, wie der Exploit die Validierungslogik der Bridge umgangen hat.
Ob rsETH das Wochenende über an der Bindung festhält, hängt davon ab, wie viel vom Cross-Chain-Float versucht, sich in $ETH auf Ethereum umzutauschen, und ob Kelp einen Teil der gestohlenen Gelder zurückerhalten kann, bevor die Tornado-Cash-Spur erlischt.
Der Hack landet in einer für DeFi ungewöhnlich feindseligen Phase. Dem auf Solana basierenden Perpetuals-Protokoll Drift wurden am 1. April durch einen Angriff, der später mit Nordkorea verbundenen Akteuren in Verbindung gebracht wurde, etwa 285 Millionen US-Dollar entzogen, und in den Wochen seitdem wurden mindestens ein Dutzend kleinere Protokolle ausgenutzt, darunter CoW Swap, Zerion, Rhea Finance und Silo Finance.
Der Verlust von Kelp in Höhe von 292 Millionen US-Dollar ist nun der größte DeFi-Exploit des Jahres 2026 und überholt Drift um einige Millionen US-Dollar.