Kelp-DAO-Hack über 292 Millionen Dollar: DeFi-Markt in der Schockstarre
Am 18. April 2026 wurde die rsETH-Bridge von Kelp DAO in einem LayerZero-basierten Exploit angegriffen – 292 Millionen USD wurden in einer einzigen Transaktion abgezogen. Es ist der größte DeFi-Angriff des laufenden Jahres und übertrifft den Drift-Protocol-Hack vom 1. April, der bislang als Referenzpunkt für 2026 galt.
Die Schadensübertragung geht weit über Kelp DAO hinaus: Gestohlene rsETH-Bestände wurden unmittelbar als Sicherheiten in Lending-Protokolle eingebracht, was über 200 Millionen USD an faulen Schulden in mehreren Kreditprotokollen erzeugte. Das ist keine isolierte Schwachstelle – es ist ein Systemtest für die gesamte Restaking-Architektur des Ethereum-Ökosystems.
- Schadenshöhe: 292 Millionen USD in der Hauptattacke; zwei geblockte Folgeangriffe hätten weitere 100 Millionen USD kosten können
- Betroffenes Protokoll: Kelp DAO, Liquid-Restaking-Protokoll; rsETH ist das zugehörige Liquid-Restaking-Token
- Angriffsvektor: Manipulation der
lzReceive-Funktion auf LayerZerosEndpointV2-Vertrag – Spoofing einer legitimen Cross-Chain-Nachricht - Gestohlene Token: 116.500 rsETH, entspricht rund 18 Prozent des gesamten Umlaufangebots
- Ansteckungseffekte: Mindestens neun Protokolle froren rsETH-Märkte ein, darunter Aave V3, SparkLend und Fluid; AAVE-Token verlor 10 Prozent
- Bad Debt: Angreifer deponierten rsETH als Sicherheit bei Aave V3 und liehen sich 196 Millionen USD+ in Wrapped ETH – über 200 Millionen USD Kreditrisiko verbleiben
- Reaktion: Kelp DAO aktivierte via Multisig ein Notfall-
pauseAll; Koordination mit LayerZero und Unichain läuft - Erstmeldung: Blockchain-Investigator ZachXBT flaggte den Exploit um ca. 14:52 UTC
Jetzt mehr erfahren: Beste Krypto Presales 2026
Wie der Exploit funktionierte – und warum LayerZero-Bridges ein strukturelles Risiko darstellen
Der Angriff nutzte eine kritische Schwachstelle in der Nachrichtenvalidierung von LayerZeros EndpointV2-Vertrag. Um 17:35 UTC rief der Angreifer die lzReceive-Funktion direkt auf und imitierte dabei eine legitime Cross-Chain-Nachricht – ohne tatsächlich eine solche über das Netzwerk zu senden. Die Bridge-Logik von rsETH interpretierte diesen gefälschten Aufruf als authentisch und gab die Freigabe zur Token-Ausgabe.
Innerhalb von 46 Minuten wurden 116.500 rsETH abgezogen, bevor Kelps Multisig-Team um 18:21 UTC ein Notfall-Pause durchsetzte. Zwei Folgeangriffe um 18:26 UTC und 18:28 UTC, die weitere 40.000 rsETH (~100 Millionen USD) hätten abziehen können, scheiterten an diesem Mechanismus.
Die gestohlenen Mittel flossen über eine Tornado-Cash-finanzierte Adresse; rund 250 Millionen USD wurden in ETH konvertiert, wobei der Angreifer etwa 74.000 ETH konsolidierte. Parallel dazu deponierten die Angreifer rsETH bei Aave V3 als Sicherheit und liehen sich 196 Millionen USD+ in Wrapped ETH aus – eine klassische Collateral-Dumping-Strategie, die Bad Debt in Lending-Protokollen hinterlässt, auch wenn die Verträge selbst unangetastet blieben.
Risikoaufschläge, Vertrauensverlust und Ansteckungsrisiken: Was folgt auf den Kelp-DAO-Exploit
Die unmittelbaren Marktreaktionen sind klar quantifizierbar: AAVE verlor 10 Prozent innerhalb weniger Stunden, als mindestens neun Protokolle rsETH-Märkte einfroren. Das ist keine überproportionale Reaktion – es ist die rationale Neubewertung von Kontrahentenrisiken in einem vernetzten Liquiditätssystem.
Der eigentliche Ansteckungsmechanismus läuft über das Bad-Debt-Problem. Über 200 Millionen USD an unbesicherten Positionen verbleiben in Lending-Protokollen, nachdem rsETH als Sicherheit hinterlegt und das zugrundeliegende Kapital abgezogen wurde. Protokolle wie Aave dürften innerhalb der nächsten Tage Governance-Abstimmungen zur Bad-Debt-Abwicklung initiieren – ein Prozess, der erfahrungsgemäß TVL aus dem betroffenen Segment abzieht.
Für Investoren in Restaking-Token anderer Protokolle – etwa EigenLayer-basierte LSTs – stellt sich nun die Frage nach der Neubewertung von Bridge-Risikoprämien. Während der Exploit technisch auf Kelp DAOs Bridge-Implementierung zurückgeht und nicht auf LayerZero selbst, dürfte der Markt zunächst undifferenziert reagieren. Das ist das klassische Muster nach DeFi-Exploits vergleichbarer Größenordnung, wie der RAVE-Crash gezeigt hat, der ebenfalls schnelle Ansteckungseffekte durch Vertrauensverlust auslöste.
Reaktion von Kelp DAO und aktuelle On-Chain-Entwicklungen
Kelp DAO bestätigte via X die Aktivierung des Notfall-pauseAll-Mechanismus und stellte rsETH-Einzahlungen sowie -Abhebungen ein. Das Team koordiniert laut eigener Aussage aktiv mit LayerZero und Unichain; eine offizielle Root-Cause-Analyse steht noch aus.
On-Chain zeigt sich: Der Angreifer hält weiterhin konsolidierte ETH-Positionen, ein Abfluss über zentralisierte Börsen wurde bislang nicht im größeren Stil beobachtet. ZachXBT hatte den Exploit bereits um ca. 14:52 UTC öffentlich markiert – rund 43 Minuten vor dem ersten dokumentierten Protokoll-Pause-Versuch. LayerZero hat eine Stellungnahme veröffentlicht und untersucht, inwieweit die Endpoint-Architektur die Überprüfung von Nachrichtenabsendern nachschärfen muss.
Warum dieser Hack das gesamte Restaking-Segment strukturell trifft
Restaking-Protokolle basieren auf einer doppelten Vertrauensannahme: dass die zugrunde liegende ETH-Sicherheit intakt ist und dass die Bridge-Schicht, die Liquidität kettenübergreifend bewegt, keine eigenständige Angriffsfläche darstellt. Der Kelp-DAO-Exploit falsifiziert die zweite Annahme experimentell.
Das ist strukturell relevant: Die Attraktivität von Liquid-Restaking-Tokens liegt genau in ihrer kettenübergreifenden Verwendbarkeit als Sicherheit in Lending-Protokollen. Wird diese Funktionalität durch Bridge-Schwachstellen zur Waffe, entsteht ein systemisches Dilemma – die Stärke des Modells ist gleichzeitig sein größtes Risiko. Wie die zunehmend professionellen Angriffe auf das Ethereum-Ökosystem zeigen, werden diese Schwachstellen von gut organisierten Akteuren systematisch ausgekundschaftet.
Für das Restaking-Segment insgesamt bedeutet das: Audits von Bridge-Implementierungen, die auf Cross-Chain-Messaging-Protokollen wie LayerZero aufsetzen, werden in den kommenden Wochen zur Pflichtübung. Protokolle, die diese Prüfungen nicht zeitnah vorweisen können, dürften Kapitalabflüsse erleben – unabhängig davon, ob ihre eigene Implementierung korrekt ist.
Ausblick: Welche Entwicklungen nun entscheidend sind
- Governance-Abstimmungen bei Aave und SparkLend zur Bad-Debt-Abschreibung – erwartet innerhalb der nächsten 48 bis 72 Stunden
- LayerZeros technischer Post-Mortem-Bericht zur Schwachstelle in
EndpointV2– entscheidend für die Neubewertung aller LayerZero-basierten Bridges - Bewegung der konsolidierten 74.000 ETH auf bekannten Mixer- oder CEX-Adressen als Frühindikator für Verwertungsabsicht
- TVL-Entwicklung in Restaking-Protokollen außerhalb von Kelp DAO als Maßstab für sektorweite Ansteckung
- Mögliche Versicherungsansprüche über DeFi-Deckungsprotokoll – Klärung der Deckungsstruktur von rsETH steht aus
Ob Kelp DAO eine substanzielle Fondsrückführung – etwa durch Verhandlungen mit dem Angreifer oder über On-Chain-Kooperationen mit Protokollen – erreicht, könnte entscheidend dafür sein, wie stark das Segment die nächsten Wochen übersteht. Scheitert eine geordnete Bad-Debt-Auflösung, dürfte der Risikoaufschlag für Restaking-Token strukturell erhöht bleiben.
Weiterlesen: Günstige Kryptowährungen im Überblick
2M+
250+
8
70
Beste Krypto ICOs
-
Bitcoin Hyper
-
Maxi Doge
-
BMIC
-
LiquidChain
-
SUBBD
Weitere Artikel
in numbers
