Berüchtigte Hacker waschen gestohlene Kelp-DAO-Gelder und verbergen 220-Millionen-Dollar-Spur in Kryptowährungs-Anonymisierern

Inhaltsverzeichnis Cyberkriminelle, die mit Nordkoreas TraderTraitor-Operation in Verbindung stehen, haben praktisch alle 220 Millionen US-Dollar an zugänglicher Kryptowährung, die während der Kelp-DAO-Sicherheitsverletzung im April 2026 gestohlen wurden, erfolgreich gewaschen. Laut Blockchain-Geheimdienstdaten von Arkham Intelligence können nur noch 1,7 Millionen US-Dollar auf die ursprünglichen Kryptowährungs-Wallets der Angreifer zurückgeführt werden. Der Kelp-DAO-Hacker hat fast alle 220 Millionen US-Dollar an nicht eingefrorenen Geldern gewaschen und damit das Wiederherstellungsfenster geschlossen. Laut The Defiant zeigen On-Chain-Tracking-Daten, dass die Hacker hinter dem Kelp-DAO-Bridge-Exploit, die als nordkoreanische Bedrohungsgruppe TraderTraitor identifiziert wurden, … pic.twitter.com/UlCj44BTa4 – Wu Blockchain (@WuBlockchain) 2. Juni 2026 Die Sicherheitskompromittierung erfolgte im April Am 18. Februar 2026 erbeuteten böswillige Akteure 116.500 rsETH-Tokens, indem sie eine Schwachstelle in der LayerZero-Bridge-Konfiguration von Kelp DAO ausnutzten. Die Gesamtverluste beliefen sich auf etwa 292 bis 293 Millionen US-Dollar und trugen zu den unglaublichen Kryptowährungsdiebstahlvorfällen in Höhe von 630 Millionen US-Dollar im April bei. Der Geldwäscheprozess verlief in zwei Hauptphasen. Zunächst wandelten die Täter gestohlene Vermögenswerte mithilfe des Taumeldienstes Wasabi CoinJoin in Bitcoin um, wandelten sie anschließend wieder in Ethereum um und leiteten sie über Tornado Cash weiter. THORChain verzeichnete in diesem Zeitraum ungewöhnlich hohe Transaktionsvolumina. Die gestohlene Kryptowährung wurde auch über Umbra geleitet, ein Protokoll, das für anonyme Transaktionen entwickelt wurde. Dieser vielschichtige Ansatz, der Bitcoin-Verschleierungstools mit den Datenschutzmechanismen von Ethereum kombiniert, stellte erhebliche Hindernisse für forensische Ermittler dar, die versuchten, der Geldspur zu folgen. Blockchain-Forensiken zeigen, dass die Täter unmittelbar nach der Sicherheitsverletzung schnell über 75.000 ETH in frisch generierte Wallets verschoben haben. Anschließend wurden diese Bestände fragmentiert und auf zahlreiche Blockchain-Netzwerke und Anonymisierungsdienste verteilt. Cybersicherheitsforscher führten den Angriff auf TraderTraitor zurück, auch bekannt als UNC4899. Dieser staatlich geförderte nordkoreanische Bedrohungsakteur war in den letzten Jahren in zahlreiche hochkarätige Kryptowährungsüberfälle verwickelt. LayerZero gab am 20. April eine Erklärung heraus, in der es klarstellte, dass die Schwachstelle auf die spezifischen Implementierungsentscheidungen von Kelp DAO zurückzuführen sei. Das Protokoll hatte ein einzelnes LayerZero-DVN als exklusiven Verifizierungspfad konfiguriert, was im Widerspruch zu etablierten Sicherheitsempfehlungen für solche Konfigurationen stand. Die gesamte Geldwäscheaktion war in etwa sechs Wochen abgeschlossen. Sicherheitsanalysten weisen darauf hin, dass die Möglichkeit, die verfügbaren Gelder zurückzugewinnen, praktisch abgelaufen ist. Der Sicherheitsrat von Arbitrum hat am 21. April eine Notsperre für rund 71 Millionen US-Dollar an ETH eingeführt. Sowohl eine Anordnung des Bundesgerichts als auch eine Abstimmung zur Gemeindeverwaltung genehmigten die Übertragung dieser Vermögenswerte auf eine von Aave verwaltete Multi-Signatur-Wallet, die für die Entschädigung von rsETH-Opfern bestimmt ist. Dennoch haben Familien, die gegen Nordkorea wegen terroristischer Fälle Gerichtsurteile erlassen haben, konkurrierende Ansprüche gegen diese eingefrorenen Vermögenswerte geltend gemacht. Für Freitag war in New York eine gerichtliche Anhörung zur Feststellung des rechtmäßigen Eigentums angesetzt. Die Lösung dieser Gerichtsverfahren bleibt ungewiss. Die eingefrorene Kryptowährung in Höhe von 71 Millionen US-Dollar stellt nun den einzigen gangbaren Weg zur direkten Rückgewinnung von Geldern dar. Die Statistiken zu Kryptowährungsdiebstählen zeigten im Mai eine dramatische Verbesserung und sanken auf 68,3 Millionen US-Dollar – was laut CertiK-Daten einem Rückgang von fast 90 % gegenüber den Zahlen vom April entspricht. Ungefähr 9,4 Millionen US-Dollar wurden im Laufe des Monats Mai erfolgreich zurückgefordert oder freiwillig zurückgegeben. Ungeachtet dieser Verbesserung löste der Kelp-DAO-Verstoß eine umfassende Neubewertung der Sicherheit im gesamten DeFi-Ökosystem aus. Innerhalb von drei Wochen nach dem Exploit haben sowohl Solv Protocol als auch Tydro die Migration zu Chainlink CCIP abgeschlossen. Kelp DAO hat seinen rsETH-Bridging-Betrieb ebenfalls auf Chainlink CCIP umgestellt und LayerZero aufgegeben. Kelp DAO hat sein Benutzervergütungsprogramm erfolgreich abgeschlossen. Die abschließende Verteilung von 20.373,7 rsETH-Tokens wurde im Rahmen einer fünfwöchigen Rückerstattungsinitiative an den LayerZero-Smart-Vertrag übermittelt, wie von Cointelegraph dokumentiert. Die gestohlene Kryptowährung selbst ist jedoch größtenteils in einer hochentwickelten kettenübergreifenden Geldwäsche-Infrastruktur verschwunden, deren Durchdringung nach Ansicht der Ermittler äußerst schwierig ist.