Kelp DAO erlitt in weniger als einer Stunde einen Bridge-Exploit im Wert von 292 Millionen US-Dollar

Inhaltsverzeichnis Am Samstag um 17:35 UTC haben böswillige Akteure erfolgreich 116.500 rsETH-Tokens aus der LayerZero-integrierten Bridge-Infrastruktur von Kelp DAO extrahiert und dabei Kryptowährungsbestände im Wert von etwa 292 Millionen US-Dollar entwendet. KelpDAO wurde ausgenutzt und etwa 294 Millionen US-Dollar gestohlen! 🚨 Der Angreifer prägte 116.500 $RSETH (294 Mio. $). Durch den Verkauf von $RSETH und dessen Verwendung als Sicherheit für die Ausleihe von $ETH erhielt der Angreifer 106.467 $ETH (250 Millionen US-Dollar). beläuft sich laut CoinGecko-Analyse auf insgesamt 630.000 Einheiten. Kelp DAO fungiert als liquide Restaking-Plattform, die ETH-Einlagen akzeptiert, diese zur besseren Ertragsgenerierung über EigenLayer weiterleitet und rsETH als übertragbare Empfangstoken an Einleger verteilt. Heute haben wir verdächtige kettenübergreifende Aktivitäten im Zusammenhang mit rsETH festgestellt. Während wir Nachforschungen anstellen, haben wir rsETH-Verträge im gesamten Mainnet und mehreren L2s pausiert. Wir arbeiten mit @LayerZero_Core, @unichain, unseren Prüfern und Top-Sicherheitsexperten für RCA zusammen. Wir werden Sie behalten… – Kelp (@KelpDAO) 18. April 2026 Die Täter nutzten Schwachstellen in der kettenübergreifenden Kommunikationsinfrastruktur von LayerZero aus und täuschten das System, scheinbar legitime netzwerkübergreifende Anweisungen zu verarbeiten. Diese Manipulation veranlasste Kelp dazu, in seinem Überbrückungsvertrag beträchtliche Geldbeträge an Wallets zu überweisen, die unter der Kontrolle des Angreifers standen. Das Notfallteam von Kelp aktivierte um 18:21 UTC, genau 46 Minuten nach dem ersten Verstoß, Protokollpausenmechanismen für alle wichtigen Smart Contracts. Zwei nachfolgende Abhebungsversuche mit dem Ziel weiterer 40.000 rsETH – etwa 100 Millionen US-Dollar im Wert – wurden erfolgreich verhindert. Blockchain-Forensiken des Sicherheitsunternehmens Cyvers ergaben, dass gestohlene Vermögenswerte über Adressen weitergeleitet wurden, die zuvor über Tornado Cash finanziert wurden. Etwa 250 Millionen US-Dollar des kompromittierten rsETH waren zum Zeitpunkt der Analyse bereits in ETH umgewandelt worden. Der kompromittierte Brückenvertrag diente als Sicherheitsreserve für verpackte rsETH-Bereitstellungen in über 20 Blockchain-Netzwerken, darunter Base, Arbitrum, Linea, Blast und Scroll. Nachdem die Reservesicherung abgeschafft wurde, stehen rsETH-Inhaber auf Layer-2-Plattformen nun vor erheblichen Fragen hinsichtlich der Token-Besicherung und der Einlösungsmöglichkeiten. Aave führte innerhalb weniger Stunden nach Erkennung des Verstoßes sofortige Sperrungen des rsETH-Marktes auf den V3- und V4-Plattformen durch. [[LINK_START_0]]Der Token von Aave[[LINK_END_0]] verzeichnete einen Wertverlust von etwa 10 %, da Händler das Risiko potenzieller Forderungsausfälle berücksichtigten. SparkLend und Fluid haben ebenfalls einen Marktstopp für rsETH erlassen. Lido Finance hat Einzahlungen in sein EarnETH-Produkt aufgrund von rsETH-Beständen ausgesetzt, betonte jedoch, dass seine primäre Staking-Infrastruktur davon unberührt blieb. Ethena führte vorsorgliche Sperrungen der LayerZero OFT-Brücke vom Ethereum-Hauptnetz für etwa sechs Stunden durch, obwohl das Protokoll keine rsETH-Exposition bestätigte. Kelps erste öffentliche Erklärung traf um 20:10 UTC ein – fast drei Stunden nach dem Angriff. Das Protokoll bestätigte die aktive Zusammenarbeit mit LayerZero, Unichain, Prüfpartnern und externen Sicherheitsberatern. Deddy Lavid, CEO von Cyvers, beschrieb den Verstoß als Beweis für inhärente Schwachstellen in der vernetzten Composability-Architektur von DeFi. Das auf Solana operierende Drift-Protokoll erlitt am 1. April durch einen Angriff, der nordkoreanischen Bedrohungsakteuren zugeschrieben wurde, Verluste in Höhe von etwa 285 Millionen US-Dollar. Bei weiteren Protokollen, darunter CoW Swap, Zerion, Rhea Finance und Silo Finance, kam es in den letzten Wochen zu Sicherheitsbeeinträchtigungen. Nach Angaben von Cyvers beliefen sich die kombinierten Kryptowährungsverluste durch Exploits und betrügerische Machenschaften im ersten Quartal 2026 auf etwa 482 Millionen US-Dollar. Der Kelp-DAO-Vorfall ist nun die schwerwiegendste DeFi-Sicherheitsverletzung im Jahr 2026 und übertrifft die Kompromittierung des Drift-Protokolls geringfügig. Zum Zeitpunkt der Veröffentlichung hat Kelp keine technischen Details zur Verfügung gestellt, die erklären, wie Angreifer die Validierungsarchitektur der Bridge umgangen haben.