KelpDAO-Hack: 292 Mio. Dollar in 60 Sekunden [2026]

Am Samstag, dem 18. April 2026, dauerte es weniger als eine Minute. Zwischen 17:30 und 17:35 Uhr UTC leerte ein Angreifer die LayerZero-Brücke des Liquid-Restaking-Protokolls KelpDAO und entwendete 116.500 rsETH im Wert von rund 292 Millionen US-Dollar. Es war der größte DeFi-Diebstahl des Jahres 2026 und einer der schnellsten Krypto-Raubzüge der Geschichte. Der Code des Protokolls blieb dabei unangetastet. Gebrochen wurde die Brücke, die Ethereum mit anderen Netzwerken verbindet.

Der Vorfall reiht sich in eine Serie spektakulärer Angriffe ein, die 2026 schon vor der Jahresmitte zu einem Rekordjahr für Krypto-Kriminalität machen. Allein bis Mitte April summierten sich die DeFi-Verluste auf über 750 Millionen Dollar, angeführt von KelpDAO (292 Mio.) und dem nur 17 Tage zuvor erfolgten Drift-Protocol-Hack (285 Mio.). Beide Spuren führen nach Pjöngjang. Diese Analyse zeigt, wie der Angriff technisch ablief, wer dahintersteckt und was er für Anlegerinnen und Anleger in Österreich und im gesamten DACH-Raum bedeutet.

Der KelpDAO-Hack im Überblick: 292 Millionen in 60 Sekunden

Der Angriff traf KelpDAO an seiner empfindlichsten Stelle. Das Protokoll nutzt die Infrastruktur von LayerZero, um seinen Restaking-Token rsETH über mehrere Blockchains hinweg zu bewegen. Genau diese Brücke wurde manipuliert. Der Angreifer brachte das Verifizierungssystem dazu, eine gefälschte Nachricht für gültig zu erklären, und löste damit die Freigabe von 116.500 rsETH aus. Die entwendete Summe entsprach nach Schätzungen rund 18 Prozent des damals zirkulierenden rsETH-Bestands.

Die Geschwindigkeit war bemerkenswert. Sicherheitsfirmen wie Chainalysis und Halborn rekonstruierten, dass der eigentliche Abfluss in unter einer Minute abgeschlossen war. KelpDAO bestätigte den Vorfall rund drei Stunden später und stoppte umgehend seine Verträge auf dem Ethereum-Mainnet sowie mehreren Layer-2-Netzwerken. Diese Notbremse verhinderte einen zweiten Abfluss von geschätzten 95 Millionen Dollar. Der erste öffentliche Beitrag des Teams auf der Plattform X erschien um 20:10 Uhr UTC.

Anders als bei klassischen Smart-Contract-Exploits gab es keine Schwachstelle im Programmcode selbst. Keine Reentrancy-Lücke, kein fehlerhaftes Zugriffsmanagement. Der Angriff zielte auf die Off-Chain-Infrastruktur, also auf jene Komponenten, die außerhalb der Blockchain laufen und ihr sagen, was auf anderen Netzwerken passiert ist. Diese Verschiebung der Angriffsfläche markiert eine neue Phase der DeFi-Bedrohungen und macht den Fall für Sicherheitsforscher so brisant.

Die Zeitleiste des Angriffs vom 18. April 2026

Die Rekonstruktion durch Chainalysis, Halborn und das Post-Mortem von LayerZero ergibt ein dichtes Bild. Innerhalb weniger Stunden wechselte der Vorfall von einem stillen technischen Manöver zu einer Kettenreaktion, die mehrere große DeFi-Protokolle in den Notfallmodus zwang. Die folgende Tabelle fasst die zentralen Stationen zusammen.

Zeitpunkt (UTC)	Ereignis
17:30 Uhr	Beginn des Angriffs auf die LayerZero-Brücke von KelpDAO
17:35 Uhr	Gefälschtes LayerZero-Paket wird übermittelt, Abfluss startet
ca. 17:36 Uhr	116.500 rsETH (rund 292 Mio. Dollar) in unter einer Minute abgezogen
kurz danach	Angreifer hinterlegt Beute als Sicherheit bei Aave, Compound und Euler
ca. 20:10 Uhr	KelpDAO bestätigt den Vorfall öffentlich auf X
Abend 18.04.	Verträge auf Mainnet und Layer 2 pausiert, zweiter Abfluss (95 Mio.) blockiert
Folgetage	Arbitrum Security Council friert über 30.000 ETH der Angreifer-Wallets ein

Die Tabelle verdeutlicht ein zentrales Problem dezentraler Finanzmärkte. Der Schaden entstand in Sekunden, die Reaktion brauchte Stunden. Zwischen dem Abfluss um 17:36 Uhr und der öffentlichen Bestätigung um 20:10 Uhr lagen rund zweieinhalb Stunden, in denen der Angreifer die Beute bereits über mehrere Protokolle verteilte. Diese Asymmetrie zwischen Angriffs- und Verteidigungsgeschwindigkeit ist das wiederkehrende Muster aller großen DeFi-Hacks.

Was ist KelpDAO und der Token rsETH?

KelpDAO ist ein Liquid-Restaking-Protokoll, das auf EigenLayer aufbaut. Um den Angriff zu verstehen, lohnt ein Blick auf diese Architektur. Beim klassischen Staking sperren Nutzer ihre ETH, um das Ethereum-Netzwerk zu sichern, und erhalten dafür Belohnungen. Restaking geht einen Schritt weiter: EigenLayer erlaubt es, dieselben gestakten ETH erneut einzusetzen, um zusätzliche Dienste abzusichern, und so doppelte Renditen zu erzielen.

KelpDAO gibt dafür den Token rsETH aus, einen sogenannten Liquid Restaking Token. Er repräsentiert die hinterlegten ETH samt EigenLayer-Belohnungen und bleibt frei handelbar. Anleger können also Staking-Erträge kassieren und ihr Kapital gleichzeitig in anderen DeFi-Anwendungen einsetzen. Genau diese Verzahnung macht rsETH attraktiv und gefährlich zugleich: Der Token war tief in Protokolle wie Aave, Spark und Ethena integriert.

Das Protokoll operiert unter dem Dach von KernelDAO und stützt sich für den netzwerkübergreifenden Transfer auf LayerZero. rsETH ist ein gewöhnlicher ERC-20-Token, der über LayerZeros Omnichain-Standard auf mehreren Blockchains existiert. Diese Multi-Chain-Präsenz brachte Liquidität und Reichweite. Sie schuf aber auch die Brücke, die zum Einfallstor wurde. Wer rsETH hielt, vertraute damit nicht nur dem KelpDAO-Code, sondern der gesamten Verifizierungskette von LayerZero.

Die Angriffsmethode: RPC-Poisoning und die 1-von-1-DVN

Der technische Kern des Angriffs liegt in einer riskanten Konfiguration. KelpDAO betrieb seine Brücke mit einem sogenannten 1-von-1-DVN-Aufbau. DVN steht für Decentralized Verifier Network, also das Netz aus Knoten, das Nachrichten zwischen den Blockchains bestätigt. Eine 1-von-1-Konfiguration bedeutet: Ein einziger Verifizierer reicht aus, um eine netzwerkübergreifende Nachricht zu signieren. Es gab keinen zweiten, unabhängigen Prüfer, der hätte widersprechen können.

Der Angreifer kompromittierte diese Schwachstelle nicht durch Diebstahl von Schlüsseln, sondern durch Manipulation der Datenquelle. Die Analysen von Chainalysis und Halborn sowie das Post-Mortem von LayerZero beschreiben eine Kombination aus RPC-Poisoning und einer DDoS-Attacke. RPC steht für Remote Procedure Call, die Schnittstelle, über die der Verifizierer abfragt, was auf der Quell-Blockchain geschehen ist. Der Ablauf in vier Schritten:

1. Der Angreifer kompromittierte zwei nachgelagerte RPC-Knoten, auf die der DVN für seine Datenprüfung angewiesen war.
2. Eine DDoS-Attacke überlastete die nicht kompromittierten RPC-Knoten und zwang das System zum Ausweichen auf die manipulierten Knoten.
3. Die vergifteten Knoten meldeten falsche Daten, nämlich einen erfundenen Token-Burn auf der Quellkette.
4. Der einzelne Verifizierer signierte die gefälschte Nachricht, woraufhin der Ethereum-Vertrag im Vertrauen auf diese Signatur 116.500 rsETH freigab.

Die signierenden Schlüssel des DVN wurden zu keinem Zeitpunkt gestohlen. Die Kryptografie blieb intakt. Versagt hat die Annahme, dass die zugelieferten Daten korrekt sind. Genau hier liegt die Lehre: Eine Brücke ist nur so vertrauenswürdig wie die schwächste ihrer Datenquellen. Ein 1-von-1-Setup spart Kosten und beschleunigt Transfers, doch es entfernt jede Redundanz. Mehrere unabhängige Verifizierer hätten die gefälschte Burn-Meldung mit hoher Wahrscheinlichkeit entlarvt.

Warum Cross-Chain-Brücken das schwächste Glied der DeFi-Welt sind

Der KelpDAO-Fall ist kein Einzelfall, sondern Symptom. Cross-Chain-Brücken zählen seit Jahren zu den lukrativsten Zielen für Angreifer. Sie bündeln große Wertmengen an einem einzigen Punkt und müssen Vertrauen zwischen Systemen herstellen, die einander nicht kennen. Die Ronin-Brücke (2022) und die Wormhole-Brücke (2022) verloren jeweils Hunderte Millionen. 2026 setzt sich dieses Muster fort, nur die Methode wird subtiler.

Galaxy Research betont in seiner Analyse des Vorfalls, dass die Risiken nicht im einzelnen Protokoll liegen, sondern in der Verkettung. rsETH war Sicherheit in Lending-Märkten, Handelspaar an Börsen und Brücken-Token zugleich. Fällt ein Glied dieser Kette, wankt die ganze Konstruktion. Der Angriff legte offen, wie eng moderne DeFi-Protokolle verflochten sind und wie ein einzelner manipulierter Datenpunkt eine systemische Kettenreaktion auslösen kann.

Hinzu kommt ein ökonomisches Problem. Brücken konkurrieren um niedrige Gebühren und hohe Geschwindigkeit. Sicherheitsmechanismen wie mehrere unabhängige Verifizierer kosten Geld und Zeit. Die 1-von-1-Konfiguration von KelpDAO war eine bewusste Abwägung zugunsten von Effizienz. Der Hack zeigt, dass diese Rechnung gefährlich kippen kann. Für DeFi-Nutzer bedeutet das: Die wahre Angriffsfläche liegt oft nicht im Protokoll, das sie sehen, sondern in der Infrastruktur dahinter.

Die Spur führt nach Nordkorea: Lazarus und TraderTraitor

Wenige Tage nach dem Angriff legten die Ermittler ihre Zuordnung vor. Chainalysis schreibt den Diebstahl mit hoher Sicherheit der nordkoreanischen Lazarus Group zu, genauer der Untergruppe TraderTraitor. LayerZero nennt in seinem Post-Mortem dieselbe Spur, allerdings mit vorläufiger Einschätzung. Die Zuordnung stützt sich auf Transaktionsmuster, Wallet-Verbindungen und das historische Verhalten der Gruppe, die seit Jahren auf Krypto-Diebstahl als staatliche Einnahmequelle setzt.

Die Brisanz steigt durch eine zweite Spur. Nur 17 Tage vor KelpDAO, am 1. April 2026, verlor das Drift Protocol rund 285 Millionen Dollar. Auch dieser Angriff wird laut den Sicherheitsfirmen Lazarus und TraderTraitor zugeschrieben. Damit verantwortet eine einzige Akteursgruppe binnen weniger als drei Wochen über 577 Millionen Dollar an gestohlenen Krypto-Werten und ist mit Abstand die größte Bedrohung des ersten Halbjahrs 2026.

Der Kontext untermauert das Muster. Laut Chainalysis stahlen nordkoreanische Akteure 2025 rund 2,02 Milliarden Dollar in Krypto-Werten. Der Bybit-Hack vom 21. Februar 2025, bei dem 400.000 ETH im Wert von etwa 1,4 Milliarden Dollar entwendet wurden, gilt als der größte Einzeldiebstahl der Branchengeschichte und wird ebenfalls mit Pjöngjang in Verbindung gebracht. Krypto-Diebstahl ist für das Regime kein Randphänomen, sondern ein strategisches Werkzeug zur Devisenbeschaffung unter Sanktionen.

Wie die Beute gewaschen wurde

Der Angreifer verlor keine Zeit. Statt die gestohlenen rsETH direkt zu verkaufen und damit den Preis zu drücken, hinterlegte er sie als Sicherheit in den Lending-Protokollen Aave, Compound und Euler. Gegen diese Sicherheit lieh sich der Täter geschätzte 236 Millionen Dollar in WETH und wstETH, also in liquideren und schwerer nachverfolgbaren Vermögenswerten. Dieser Trick verwandelt heiße, markierte Token in scheinbar saubere Liquidität.

Anschließend verteilte der Angreifer die Mittel auf Ethereum und Arbitrum und splittete sie in zwei Tranchen, rund 178 Millionen auf dem Ethereum-Mainnet und etwa 72 Millionen auf Layer 2. Entgegen mancher Erwartung gibt es in den vorliegenden Berichten keinen Beleg für den Einsatz von Tornado Cash. Die Wäsche lief primär über DeFi-Lending und netzwerkübergreifende Swaps, ein zunehmend verbreitetes Vorgehen, das klassische Mixer ersetzt.

Nicht alles entkam. Das Arbitrum Security Council fror in Abstimmung mit den Ermittlern über 30.000 ETH der nachgelagerten Wallets ein. Freiwillig zurückgegeben hat der Angreifer nichts. Der Großteil der rund 292 Millionen Dollar bleibt verschwunden oder in der Kontrolle der Täter. Die eingefrorenen Mittel zeigen jedoch, dass koordinierte Reaktionen von Validatoren und Sicherheitsfirmen zumindest Teilerfolge erzielen können, wenn sie schnell genug greifen.

Marktauswirkungen: rsETH-Depeg und Notfallmodus bei Aave und Ethena

Die Folgen blieben nicht auf KelpDAO beschränkt. Unmittelbar nach dem Diebstahl löste sich rsETH von seiner Kopplung an ETH. Der Token verlor deutlich an Wert, weil der Markt das Vertrauen in seine Deckung verlor. Ein Liquid Restaking Token ist nur so viel wert wie die ETH, die ihn besichern. Wenn ein Sechstel der zirkulierenden Menge plötzlich in falschen Händen liegt, gerät dieses Versprechen ins Wanken.

Der Depeg zwang große Protokolle in den Notfallmodus. Aave, Spark, Fluid, Lido und Ethena pausierten oder begrenzten ihre rsETH-Engagements, um eine Ansteckung zu verhindern. Diese Notbremsen verdeutlichen, wie eng die DeFi-Welt verknüpft ist. Ein kompromittierter Token kann binnen Stunden Lending-Märkte einfrieren, an denen Milliarden hängen. Galaxy Research bezeichnete den Vorfall als Stresstest für die gesamte Restaking-Architektur.

Bemerkenswert ist die Ruhe der Leitmärkte. Während rsETH einbrach und DeFi-Protokolle zitterten, blieb der Bitcoin-Kurs weitgehend unbeeindruckt. Diese Entkopplung zeigt eine Reifung des Marktes: Ein 292-Millionen-Hack erschüttert ein Nischensegment, ohne den gesamten Kryptomarkt mitzureißen. 2021 oder 2022 hätte ein vergleichbarer Vorfall womöglich breitere Panik ausgelöst. 2026 bleibt die Wirkung lokal, was sowohl für Robustheit als auch für die wachsende Spezialisierung der Risiken spricht.

KelpDAO, Drift und Bybit: die größten Krypto-Hacks im Vergleich

Um die Dimension des KelpDAO-Diebstahls einzuordnen, hilft ein Blick auf die größten Vorfälle der jüngeren Vergangenheit. Die folgende Tabelle vergleicht zentrale Kennzahlen. Sie macht deutlich, dass 2026 zwar viele Angriffe sieht, der Bybit-Hack von 2025 in absoluten Zahlen aber weiter alles überragt.

Vorfall	Datum	Schaden (USD)	Methode	Zugeschrieben
Bybit	21.02.2025	1,4 Mrd.	Kompromittierte Hot Wallet / Schlüssel	Nordkorea (Lazarus)
KelpDAO	18.04.2026	292 Mio.	RPC-Poisoning, 1-von-1-DVN-Brücke	Lazarus / TraderTraitor
Drift Protocol	01.04.2026	285 Mio.	Brücken- bzw. Protokoll-Exploit	Lazarus / TraderTraitor
Privatperson (Trezor)	Januar 2026	282 Mio.	Social Engineering, Root-Key	nicht bestätigt
Step Finance	Ende Jan. 2026	27 bis 30 Mio.	Kompromittierte Treasury-Wallets	nicht bestätigt

Die Gegenüberstellung offenbart einen Methodenwandel. Bybit fiel 2025 noch über kompromittierte Schlüssel einer zentralen Börse. 2026 verlagert sich der Schwerpunkt auf Infrastruktur-Angriffe gegen dezentrale Brücken und auf raffiniertes Social Engineering. Die Summen pro Vorfall sinken im Vergleich zu Bybit, doch die Häufigkeit steigt. Anleger sehen sich nicht mehr einem seltenen Mega-Hack gegenüber, sondern einer Serie mittelgroßer, technisch ausgefeilter Angriffe.

Stimmen aus der Sicherheitsbranche

Die führenden Analysehäuser sind sich in der Einordnung weitgehend einig. Chainalysis hält in seinem Bericht fest, dass der Angriff mit hoher Sicherheit auf Lazarus und die Untergruppe TraderTraitor zurückgeht und sich nahtlos in das Muster nordkoreanischer Krypto-Operationen einfügt. Das Analysehaus betont, dass das schnelle Einfrieren von über 30.000 ETH durch das Arbitrum Security Council nur dank koordinierter On-Chain-Überwachung gelang.

Die Sicherheitsfirma Halborn stellt in ihrem Post-Mortem klar, dass nicht der Smart Contract das Problem war, sondern die Konfiguration der Brücke. Ein 1-von-1-DVN-Aufbau, so die Analyse, entferne jede Redundanz und mache die gesamte Wertkette von einer einzigen Datenquelle abhängig. Galaxy Research schreibt, der Vorfall lege die strukturellen Risiken von DeFi-Lending, Brücken und Multisig-Sicherheit gleichermaßen offen und sei ein Weckruf für die gesamte Restaking-Branche.

Aus dem Post-Mortem von LayerZero geht hervor, dass die signierenden Schlüssel nie kompromittiert wurden und der Angriff allein auf der Manipulation der zugelieferten Daten beruhte. Diese Differenzierung ist wichtig: Sie verschiebt die Schuldfrage von der Kryptografie hin zur Architekturentscheidung. Alle vier Quellen, Chainalysis, Halborn, Galaxy Research und LayerZero, stimmen in den Kernfakten überein, von Datum und Summe bis zur Methode. Diese Konsistenz verleiht der Rekonstruktion ungewöhnlich hohe Belastbarkeit.

Historischer Kontext: von Mt. Gox bis zum Rekordjahr 2026

Krypto-Diebstähle sind so alt wie die Branche selbst. 2014 verlor die Börse Mt. Gox Bitcoin im Wert von Hunderten Millionen und ging unter. Es folgten Coincheck (2018), die DeFi-Welle ab 2020 und die großen Brücken-Hacks von Ronin und Wormhole 2022. Mit jeder Generation verschob sich die Angriffsfläche: von schlecht gesicherten Börsen über fehlerhafte Smart Contracts bis hin zur heutigen Off-Chain-Infrastruktur.

2025 markierte einen traurigen Höhepunkt. Laut Chainalysis summierten sich die gestohlenen Krypto-Werte auf rund 3,4 Milliarden Dollar, ein erheblicher Teil davon ging auf das Konto nordkoreanischer Akteure mit 2,02 Milliarden. Der Bybit-Hack allein machte mit 1,4 Milliarden den Löwenanteil aus. Zum Vergleich: 2024 lagen die Verluste laut Branchendaten bei etwa 2,2 Milliarden Dollar. Die Kurve zeigt steil nach oben.

2026 setzt diesen Trend fort. Schon im Januar gingen laut Monitoring-Diensten rund 385 Millionen Dollar bei größeren Angriffen verloren, sieben DeFi-Protokolle verzeichneten Schäden über je einer Million, zusammen etwa 86 Millionen. Bis Mitte April überstiegen die reinen DeFi-Verluste 750 Millionen Dollar. KelpDAO und Drift trieben diese Summe maßgeblich. Sollte sich das Tempo halten, droht 2026 das bisherige Rekordjahr zu übertreffen.

Was der Hack für Anleger in Österreich und im DACH-Raum bedeutet

Für Anlegerinnen und Anleger in Österreich liegt die Lehre weniger im einzelnen Protokoll als im Prinzip. Wer rsETH oder ähnliche Liquid Restaking Token hält, trägt nicht nur das Risiko des Basisprotokolls, sondern jeder Brücke und jeder Datenquelle in der Kette. Diese verschachtelten Abhängigkeiten sind für Privatpersonen kaum durchschaubar. Die einfachste Schutzmaßnahme bleibt die Verwahrung größerer Bestände in einer Hardware-Wallet außerhalb der DeFi-Protokolle.

Auch regulatorisch ist der DACH-Raum betroffen. Mit der EU-Verordnung MiCA gelten seit 2024/2025 erstmals einheitliche Regeln für Krypto-Dienstleister, doch dezentrale Protokolle wie KelpDAO fallen weitgehend durch das Raster. Anleger, die über österreichische oder europäische Plattformen indirekt rsETH-Exposure halten, sollten prüfen, welche Brücken- und Verwahrrisiken ihr Anbieter eingeht. Transparenz über die genutzte Infrastruktur wird zum entscheidenden Auswahlkriterium.

Die Bedrohung durch staatliche Akteure verschärft das Bild. Wenn eine professionelle, staatlich gestützte Gruppe wie Lazarus binnen drei Wochen über eine halbe Milliarde Dollar abräumt, reicht private Vorsicht allein nicht. Sicherheitsbehörden in Österreich, Deutschland und der Schweiz warnen seit Jahren vor der wachsenden Verzahnung von Cyberkriminalität und Geopolitik. Der KelpDAO-Fall ist dafür ein Lehrstück, dessen Schlussfolgerungen weit über die Krypto-Nische hinausreichen.

Fünf Prognosen für die DeFi-Sicherheit 2026 und 2027

Aus dem Vorfall und den Branchendaten lassen sich fünf belastbare Entwicklungen ableiten:

• Das Ende der 1-von-1-Konfigurationen. Brücken werden unter dem Druck der Hacks zu Multi-Verifizierer-Setups mit mehreren unabhängigen DVN wechseln. Effizienz weicht der Redundanz.
• Infrastruktur statt Code als Hauptangriffsfläche. Da Smart Contracts immer besser auditiert werden, verlagern Angreifer ihren Fokus weiter auf RPC-Knoten, Oracles und Off-Chain-Komponenten.
• 2026 erreicht oder übertrifft das gestohlene Volumen von 2025. Bei über 750 Millionen DeFi-Verlusten bis Mitte April liegt der Jahrespfad oberhalb der bisherigen Marke.
• Nordkorea bleibt der dominierende Akteur. Lazarus und TraderTraitor verantworten 2026 bereits die zwei größten Vorfälle und dürften ihre Schlagzahl halten.
• Schnellere koordinierte Reaktionen. Das Einfrieren von 30.000 ETH durch das Arbitrum Security Council zeigt einen Trend zu institutionalisierten Notfall-Mechanismen, die Teile der Beute sichern, bevor sie verschwindet.

Häufige Fragen zum KelpDAO-Hack

Wie viel Geld wurde beim KelpDAO-Hack gestohlen?

Der Angreifer entwendete am 18. April 2026 rund 116.500 rsETH im Wert von etwa 292 Millionen US-Dollar. Je nach ETH-Kurs zum Zeitpunkt der jeweiligen Berichterstattung kursieren Werte zwischen 290 und 294 Millionen. Es handelt sich um den bislang größten DeFi-Diebstahl des Jahres 2026.

Wie lief der Angriff technisch ab?

Der Täter manipulierte nicht den Smart Contract, sondern die Brücken-Infrastruktur. Über RPC-Poisoning und eine DDoS-Attacke zwang er das Verifizierungssystem auf manipulierte Datenknoten, die einen erfundenen Token-Burn meldeten. Weil KelpDAO nur einen einzigen Verifizierer (1-von-1-DVN) nutzte, signierte dieser die gefälschte Nachricht, und der Vertrag gab die rsETH frei.

Wer steckt hinter dem KelpDAO-Hack?

Chainalysis schreibt den Angriff mit hoher Sicherheit der nordkoreanischen Lazarus Group und ihrer Untergruppe TraderTraitor zu. Dieselbe Gruppe wird auch für den Drift-Protocol-Hack vom 1. April 2026 (285 Millionen Dollar) verantwortlich gemacht.

Wurde ein Teil des Geldes zurückgeholt?

Das Arbitrum Security Council fror in Zusammenarbeit mit Ermittlern über 30.000 ETH der nachgelagerten Wallets ein. Freiwillig zurückgegeben hat der Angreifer nichts. Der überwiegende Teil der 292 Millionen Dollar bleibt verschwunden.

Was ist rsETH und warum fiel der Kurs?

rsETH ist der Liquid Restaking Token von KelpDAO, der hinterlegte ETH samt EigenLayer-Belohnungen abbildet. Nach dem Diebstahl von rund 18 Prozent des zirkulierenden Bestands verlor der Markt das Vertrauen in die Deckung, der Token löste sich von seiner ETH-Kopplung und verlor deutlich an Wert.

Wie können sich Anleger vor solchen Hacks schützen?

Hundertprozentigen Schutz gibt es bei DeFi nicht. Sinnvoll sind die Verwahrung größerer Bestände in einer Hardware-Wallet, das Meiden von Protokollen mit intransparenter Brücken-Infrastruktur und das Streuen von Risiken. Wer rsETH oder ähnliche Token hält, sollte sich bewusst sein, dass er nicht nur dem Protokoll, sondern der gesamten Verifizierungskette vertraut.

Hatte der Hack Auswirkungen auf den Bitcoin-Kurs?

Nein. Während rsETH einbrach und mehrere DeFi-Protokolle in den Notfallmodus schalteten, blieb der Bitcoin-Kurs weitgehend stabil. Diese Entkopplung deutet auf eine zunehmende Reife und Segmentierung des Kryptomarktes hin.

Verwandte Beiträge

• Akira-Ransomware: 244 Mio. Schaden im DACH-Raum 2026
• Cyberangriffe im DACH-Raum 2026: Die wichtigsten Fälle
• Datenlecks: Wie sie entstehen und wie Sie sich schützen
• Phishing-Angriffe erkennen und abwehren
• Google schließt 32-Mrd.-Wiz-Deal: Reset der Cloud-Sicherheit
• Mehr Beiträge zum Thema Kryptowährung

Quellen und weiterführende Analysen

• Chainalysis: Inside the KelpDAO Bridge Exploit
• Halborn: Explained, The Kelp DAO Hack (April 2026)
• Galaxy Research: KelpDAO/LayerZero Exploit
• LayerZero: Offizielle Website und Post-Mortem-Hub
• KelpDAO: Offizielle Projektseite