Ein Hacker lud am Samstag sein Wallet über Tornado Cash auf, wartete 10 Stunden und führte dann eine Transaktion durch, die 292 Millionen Dollar von KelpDAO abzweigte.
Als es jemand bemerkte, war das Geld weg. Und als KelpDAO pausierte, waren innerhalb weniger Minuten zwei weitere Versuche fehlgeschlagen.
Der Hacker von KelpDAO wollte 391 Millionen Dollar erbeuten
Die Wallet, die den Angriff durchführte, wurde über den 1-ETH-Pool von Tornado Cashfinanziert. Dies ist ein üblicher Verschleierungsschritt, bei dem die Adresse mit sauberem Gasgeld befüllt wurde.
Die Wallet lzReceive auf LayerZeros EndpointV2-tracund die OFT-Bridge von KelpDAO übertrugen 116.500 rsETH an eine separate Angreiferadresse. Der Abfluss erfolgte in einer einzigen Transaktion.
Was folgte, zeigte, wie gering die Gewinnspanne war. Der Angreifer kehrte zweimal zurück. Zwei weitere LayerZero-Pakete erreichten die Bridge, jedes mit dem Ziel, 40.000 rsETH zu stehlen, was zusammen einen Wert von etwa 100 Millionen US-Dollar ergab. Beide Angriffe wurden abgebrochen.
Fünf Minuten zuvor hatte Kelps Notfall-Pausierer-Multisignatur den Befehl `pauseAll` ausgeführt. Dieser Befehl fror den LRT-Einzahlungspool, dentrac, das LRT-Orakel und den rsETH-Token ein. Die Zeitspanne zwischen der erfolgreichen Abhebung und der Pause betrug 46 Minuten. Die Zeitspanne zwischen der Pause und dem nächsten Angriffsversuch betrug fünf Minuten.
Der Gesamtschaden für KelpDAO hätte sich auf rund 391 Millionen Dollar belaufen, wenn die zweiten und dritten Angriffsversuche erfolgreich gewesen wären.
Der Angreifer löst Aave Schuldenausfall aus
Die 116.500 rsETH-Token hatten zum aktuellen Kurs einen Wert von etwa 292 Millionen US-Dollar. Dies entspricht rund 18 % des im Umlauf befindlichen rsETH-Angebots von etwa 630.000 Token.
rsETH ist ein liquider Restaking-Token, der auf EigenLayer basiert und in mehr als 20 Netzwerken eingesetzt wird, darunter Base, Arbitrum, Linea, Blast, Mantle und Scroll.
Der Angreifer behielt die gestohlenen rsETH-Token nicht einfach nur. Laut On-Chain-Daten wurden die Token als Sicherheit in Aave V3 hinterlegt, um große Mengen Ether und Wrapped Ether zu leihen. Die Gelder wurden über Tornado Cash zurückgeleitet, um die Spuren zu verwischen.
Dieser Schritt verwandelte eine Sicherheitslücke im Bridge-Netzwerk in ein potenzielles Problem mit notleidenden Krediten für Aave, eine der größten DeFi-Kreditplattformen. Aave V3 könnte dadurch einem Ausfallrisiko von bis zu 177 Millionen US-Dollar ausgesetzt sein.
Der Blockchain-Ermittler ZachXBT meldete den Vorfall dent einer Stunde auf Telegram. „KelpDAO wurden offenbar vor einer Stunde über 280 Millionen Dollar auf Ethereum und Arbitrum gestohlen“, schrieb er und bestätigte, dass die Wallets der Hacker über Tornado Cash .
Kelps erste öffentliche Stellungnahme erfolgte auf X, mehr als zweieinhalb Stunden nach dem Datenabfluss. „Heute Morgen haben wir verdächtige kettenübergreifende Aktivitäten im Zusammenhang mit rsETH festgestellt“, schrieb das Protokoll. „Wir haben die rsETH-Kontrakte dent trac und auf mehreren Layer-2-Knoten pausiert, während wir die Angelegenheit untersuchen. Wir arbeiten mit LayerZero, Unichain, unseren Auditoren und führenden Sicherheitsexperten an der Ursachenanalyse.“
Aave fror den gesamten rsETH-Handel auf Aave V3 und V4 ein. Das Protokoll bestätigte auf X, dass die Schwachstelle in rsETH und nicht in Aaveeigenentraclag. „Wir prüfen derzeit Informationen zu rsETH-Leihvorgängen auf Aave , die nach dem Ausnutzen der Sicherheitslücke stattfanden, und werden so schnell wie möglich weitere Details bekannt geben“, schrieb Aave . Das Aave -Team sucht außerdem nach Möglichkeiten, die entstandenen Verluste auszugleichen.
Aave fiel im Tagesverlauf um 10,65 % auf 103,86 US-Dollar. Ethereum gab um etwa 3 % nach und notiert aktuell bei 2.358,24 US-Dollar.
Der Angriff auf KeplerDAO erfolgte zudem weniger als zwei Wochen nach einem Hack des Drift-Protokolls, bei dem 286 Millionen US-Dollar erbeutet wurden – dem bisher größten Kryptodiebstahl des Jahres 2026. Laut einem Bericht Cryptopolitan des Drift-Protokolls mit derselben Gruppe in Verbindung gebracht, die auch 1,4 Milliarden US-Dollar von Bybit gestohlen hat.
KelpDAO belegt nun den zweiten Platz auf der Liste der größten Krypto-Hacks im Jahr 2026.
