Hier ist eine vollständige Analyse des KelpDAO-Exploits und der Arbitrum-Einfrierung: Der Exploit (18. April 2026)

#KelpDAOExploitFreeze Hier ist eine vollständige Analyse des KelpDAO-Exploits und der Arbitrum-Einfrierung:
Der Exploit (18. April 2026)
Am 18. April um etwa 17:35 UTC nutzten Angreifer eine Schwachstelle in der LayerZero-gestützten Cross-Chain-Brücke von Kelp DAO aus, wodurch 116.500 rsETH im Wert von etwa 292 Millionen Dollar – ungefähr 18 % des zirkulierenden Angebots des Tokens – abgezogen wurden. Der Hack beinhaltete das Spoofing einer Cross-Chain-Nachricht über den EndpointV2-Vertrag von LayerZero, wodurch die Brücke dazu gebracht wurde, ungesichertes rsETH freizugeben, ohne dass ein entsprechendes Burn auf der Quellkette stattfand. Dies wurde durch eine schwache 1-von-1-DVN (Data Verification Network)-Konfiguration ermöglicht, die einen einzigen Fehlerpunkt schuf. (Crypto Times)
Kelp nutzte sein Notfall-Pauser-Multisig, um die Kern-rsETH-Verträge etwa 46 Minuten nach dem Drain einzufrieren, und blockierte damit zusätzlich geschätzte 100 Millionen Dollar, die entnommen werden sollten. (CoinDesk)
DeFi-Ansteckung
Der Angreifer hat die gefälschten, nicht gedeckten rsETH-Token in Kreditprotokolle — hauptsächlich Aave — eingezahlt, um echtes ETH und andere Vermögenswerte gegen sie zu leihen. In den 24 Stunden nach dem Hack zogen Wale mehr als 6 Milliarden Dollar von Aave ab, wodurch große Pools wie ETH, USDT und USDC auf eine 100%ige Auslastung gedrängt wurden und die verbleibenden Einleger effektiv in ihren Geldern gefangen waren. (CoinDesk) Aave fror die rsETH-Märkte auf V3 und V4 ein, SparkLend und Fluid froren ihre rsETH-Märkte ein, und Lido Finance pausierte weitere Einzahlungen in sein earnETH-Produkt aufgrund der rsETH-Exposition. (CoinDesk)
Der Arbitrum-Freeze
Der Sicherheitsrat von Arbitrum fror 30.766 ETH im Wert von etwa 71 Millionen Dollar ein und verschob Gelder, die mit dem Exploit verbunden waren, in eine Zwischen-Wallet, die nur durch weitere Governance-Maßnahmen von Arbitrum zugänglich ist. Die Notfallmaßnahme wurde mit Input von Strafverfolgungsbehörden getroffen und hatte keine Auswirkungen auf andere Arbitrum-Nutzer oder Anwendungen. (CoinDesk)
Antwort des Hackers & Attribution
Nach dem Arbitrum-Freeze hat der Exploiter die verbleibenden 75.701 ETH (175 Millionen Dollar) in das Ethereum-Hauptnetz verschoben und begann, die Gelder zu waschen — indem er gestohlene Vermögenswerte in kleinen Tranchen über Thorchain, Umbra Cash und Chainflip nach Bitcoin bridgte. LayerZero schrieb den Angriff der Lazarus-Gruppe aus Nordkorea und ihrer Untereinheit Trader Traitor zu, und verwies dabei auf Onchain- und operationale Taktiken, die mit früheren staatlich geförderten Kampagnen übereinstimmen. (Bitcoin News)
Die Zentralisierungsdebatte
Die Intervention von Arbitrum hat eine Debatte in der DeFi-Community ausgelöst, wobei Kritiker argumentieren, dass sie Arbitrum effektiv als Multisig-Wallet entlarvt, die in der Lage ist, Gelder einseitig einzufrieren — was dem Dezentralisierungs-Ethos von DeFi widerspricht. (Crypto Times)
Breiter Kontext
Der KelpDAO-Hack führte dazu, dass die gesamten DeFi-Verluste über 600 Millionen Dollar in drei Wochen stiegen, während der Gesamtwert des gesperrten Kapitals im breiteren Ökosystem um 25 % auf 82,4 Milliarden Dollar fiel. (Bitcoin News) Der Streit zwischen Kelp/LayerZero darüber, wer für den Hack verantwortlich ist — und wie die verbleibenden Verluste sozialisiert werden — ist im Gange.