{"id":99,"date":"2026-06-15T04:21:35","date_gmt":"2026-06-15T04:21:35","guid":{"rendered":"https:\/\/shattered.io\/at\/2026\/06\/15\/kelpdao-hack-292-mio-2026\/"},"modified":"2026-06-15T12:10:49","modified_gmt":"2026-06-15T12:10:49","slug":"kelpdao-hack-292-mio-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/at\/kelpdao-hack-292-mio-2026\/","title":{"rendered":"KelpDAO-Hack: 292 Mio. Dollar in 60 Sekunden [2026]"},"content":{"rendered":"\n

Am Samstag, dem 18. April 2026, dauerte es weniger als eine Minute. Zwischen 17:30 und 17:35 Uhr UTC leerte ein Angreifer die LayerZero-Br\u00fccke des Liquid-Restaking-Protokolls KelpDAO und entwendete 116.500 rsETH im Wert von rund 292 Millionen US-Dollar<\/strong>. Es war der gr\u00f6\u00dfte DeFi-Diebstahl des Jahres 2026 und einer der schnellsten Krypto-Raubz\u00fcge der Geschichte. Der Code des Protokolls blieb dabei unangetastet. Gebrochen wurde die Br\u00fccke, die Ethereum mit anderen Netzwerken verbindet.<\/p>\n\n\n\n

Der Vorfall reiht sich in eine Serie spektakul\u00e4rer Angriffe ein, die 2026 schon vor der Jahresmitte zu einem Rekordjahr f\u00fcr Krypto-Kriminalit\u00e4t machen. Allein bis Mitte April summierten sich die DeFi-Verluste auf \u00fcber 750 Millionen Dollar, angef\u00fchrt von KelpDAO (292 Mio.) und dem nur 17 Tage zuvor erfolgten Drift-Protocol-Hack (285 Mio.). Beide Spuren f\u00fchren nach Pj\u00f6ngjang. Diese Analyse zeigt, wie der Angriff technisch ablief, wer dahintersteckt und was er f\u00fcr Anlegerinnen und Anleger in \u00d6sterreich und im gesamten DACH-Raum bedeutet.<\/p>\n\n\n\n

Der KelpDAO-Hack im \u00dcberblick: 292 Millionen in 60 Sekunden<\/h2>\n\n\n\n

Der Angriff traf KelpDAO an seiner empfindlichsten Stelle. Das Protokoll nutzt die Infrastruktur von LayerZero, um seinen Restaking-Token rsETH \u00fcber mehrere Blockchains hinweg zu bewegen. Genau diese Br\u00fccke wurde manipuliert. Der Angreifer brachte das Verifizierungssystem dazu, eine gef\u00e4lschte Nachricht f\u00fcr g\u00fcltig zu erkl\u00e4ren, und l\u00f6ste damit die Freigabe von 116.500 rsETH aus. Die entwendete Summe entsprach nach Sch\u00e4tzungen rund 18 Prozent des damals zirkulierenden rsETH-Bestands.<\/p>\n\n\n\n

Die Geschwindigkeit war bemerkenswert. Sicherheitsfirmen wie Chainalysis und Halborn rekonstruierten, dass der eigentliche Abfluss in unter einer Minute abgeschlossen war. KelpDAO best\u00e4tigte den Vorfall rund drei Stunden sp\u00e4ter und stoppte umgehend seine Vertr\u00e4ge auf dem Ethereum-Mainnet sowie mehreren Layer-2-Netzwerken. Diese Notbremse verhinderte einen zweiten Abfluss von gesch\u00e4tzten 95 Millionen Dollar. Der erste \u00f6ffentliche Beitrag des Teams auf der Plattform X erschien um 20:10 Uhr UTC.<\/p>\n\n\n\n

Anders als bei klassischen Smart-Contract-Exploits gab es keine Schwachstelle im Programmcode selbst. Keine Reentrancy-L\u00fccke, kein fehlerhaftes Zugriffsmanagement. Der Angriff zielte auf die Off-Chain-Infrastruktur, also auf jene Komponenten, die au\u00dferhalb der Blockchain laufen und ihr sagen, was auf anderen Netzwerken passiert ist. Diese Verschiebung der Angriffsfl\u00e4che markiert eine neue Phase der DeFi-Bedrohungen und macht den Fall f\u00fcr Sicherheitsforscher so brisant.<\/p>\n\n\n\n

Die Zeitleiste des Angriffs vom 18. April 2026<\/h2>\n\n\n\n

Die Rekonstruktion durch Chainalysis, Halborn und das Post-Mortem von LayerZero ergibt ein dichtes Bild. Innerhalb weniger Stunden wechselte der Vorfall von einem stillen technischen Man\u00f6ver zu einer Kettenreaktion, die mehrere gro\u00dfe DeFi-Protokolle in den Notfallmodus zwang. Die folgende Tabelle fasst die zentralen Stationen zusammen.<\/p>\n\n\n\n

\n
Zeitpunkt (UTC)<\/th>Ereignis<\/th><\/tr><\/thead>
17:30 Uhr<\/td>Beginn des Angriffs auf die LayerZero-Br\u00fccke von KelpDAO<\/td><\/tr>\n
17:35 Uhr<\/td>Gef\u00e4lschtes LayerZero-Paket wird \u00fcbermittelt, Abfluss startet<\/td><\/tr>\n
ca. 17:36 Uhr<\/td>116.500 rsETH (rund 292 Mio. Dollar) in unter einer Minute abgezogen<\/td><\/tr>\n
kurz danach<\/td>Angreifer hinterlegt Beute als Sicherheit bei Aave, Compound und Euler<\/td><\/tr>\n
ca. 20:10 Uhr<\/td>KelpDAO best\u00e4tigt den Vorfall \u00f6ffentlich auf X<\/td><\/tr>\n
Abend 18.04.<\/td>Vertr\u00e4ge auf Mainnet und Layer 2 pausiert, zweiter Abfluss (95 Mio.) blockiert<\/td><\/tr>\n
Folgetage<\/td>Arbitrum Security Council friert \u00fcber 30.000 ETH der Angreifer-Wallets ein<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

Die Tabelle verdeutlicht ein zentrales Problem dezentraler Finanzm\u00e4rkte. Der Schaden entstand in Sekunden, die Reaktion brauchte Stunden. Zwischen dem Abfluss um 17:36 Uhr und der \u00f6ffentlichen Best\u00e4tigung um 20:10 Uhr lagen rund zweieinhalb Stunden, in denen der Angreifer die Beute bereits \u00fcber mehrere Protokolle verteilte. Diese Asymmetrie zwischen Angriffs- und Verteidigungsgeschwindigkeit ist das wiederkehrende Muster aller gro\u00dfen DeFi-Hacks.<\/p>\n\n\n\n

Was ist KelpDAO und der Token rsETH?<\/h2>\n\n\n\n

KelpDAO ist ein Liquid-Restaking-Protokoll, das auf EigenLayer aufbaut. Um den Angriff zu verstehen, lohnt ein Blick auf diese Architektur. Beim klassischen Staking sperren Nutzer ihre ETH, um das Ethereum-Netzwerk zu sichern, und erhalten daf\u00fcr Belohnungen. Restaking geht einen Schritt weiter: EigenLayer erlaubt es, dieselben gestakten ETH erneut einzusetzen, um zus\u00e4tzliche Dienste abzusichern, und so doppelte Renditen zu erzielen.<\/p>\n\n\n\n

KelpDAO gibt daf\u00fcr den Token rsETH<\/strong> aus, einen sogenannten Liquid Restaking Token. Er repr\u00e4sentiert die hinterlegten ETH samt EigenLayer-Belohnungen und bleibt frei handelbar. Anleger k\u00f6nnen also Staking-Ertr\u00e4ge kassieren und ihr Kapital gleichzeitig in anderen DeFi-Anwendungen einsetzen. Genau diese Verzahnung macht rsETH attraktiv und gef\u00e4hrlich zugleich: Der Token war tief in Protokolle wie Aave, Spark und Ethena integriert.<\/p>\n\n\n\n

Das Protokoll operiert unter dem Dach von KernelDAO und st\u00fctzt sich f\u00fcr den netzwerk\u00fcbergreifenden Transfer auf LayerZero. rsETH ist ein gew\u00f6hnlicher ERC-20-Token, der \u00fcber LayerZeros Omnichain-Standard auf mehreren Blockchains existiert. Diese Multi-Chain-Pr\u00e4senz brachte Liquidit\u00e4t und Reichweite. Sie schuf aber auch die Br\u00fccke, die zum Einfallstor wurde. Wer rsETH hielt, vertraute damit nicht nur dem KelpDAO-Code, sondern der gesamten Verifizierungskette von LayerZero.<\/p>\n\n\n\n

Die Angriffsmethode: RPC-Poisoning und die 1-von-1-DVN<\/h2>\n\n\n\n

Der technische Kern des Angriffs liegt in einer riskanten Konfiguration. KelpDAO betrieb seine Br\u00fccke mit einem sogenannten 1-von-1-DVN-Aufbau. DVN steht f\u00fcr Decentralized Verifier Network, also das Netz aus Knoten, das Nachrichten zwischen den Blockchains best\u00e4tigt. Eine 1-von-1-Konfiguration bedeutet: Ein einziger Verifizierer reicht aus, um eine netzwerk\u00fcbergreifende Nachricht zu signieren. Es gab keinen zweiten, unabh\u00e4ngigen Pr\u00fcfer, der h\u00e4tte widersprechen k\u00f6nnen.<\/p>\n\n\n\n

Der Angreifer kompromittierte diese Schwachstelle nicht durch Diebstahl von Schl\u00fcsseln, sondern durch Manipulation der Datenquelle. Die Analysen von Chainalysis und Halborn sowie das Post-Mortem von LayerZero beschreiben eine Kombination aus RPC-Poisoning und einer DDoS-Attacke. RPC steht f\u00fcr Remote Procedure Call, die Schnittstelle, \u00fcber die der Verifizierer abfragt, was auf der Quell-Blockchain geschehen ist. Der Ablauf in vier Schritten:<\/p>\n\n\n\n

    \n
  1. Der Angreifer kompromittierte zwei nachgelagerte RPC-Knoten, auf die der DVN f\u00fcr seine Datenpr\u00fcfung angewiesen war.<\/li>\n
  2. Eine DDoS-Attacke \u00fcberlastete die nicht kompromittierten RPC-Knoten und zwang das System zum Ausweichen auf die manipulierten Knoten.<\/li>\n
  3. Die vergifteten Knoten meldeten falsche Daten, n\u00e4mlich einen erfundenen Token-Burn auf der Quellkette.<\/li>\n
  4. Der einzelne Verifizierer signierte die gef\u00e4lschte Nachricht, woraufhin der Ethereum-Vertrag im Vertrauen auf diese Signatur 116.500 rsETH freigab.<\/li>\n<\/ol>\n\n\n\n

    Die signierenden Schl\u00fcssel des DVN wurden zu keinem Zeitpunkt gestohlen. Die Kryptografie blieb intakt. Versagt hat die Annahme, dass die zugelieferten Daten korrekt sind. Genau hier liegt die Lehre: Eine Br\u00fccke ist nur so vertrauensw\u00fcrdig wie die schw\u00e4chste ihrer Datenquellen. Ein 1-von-1-Setup spart Kosten und beschleunigt Transfers, doch es entfernt jede Redundanz. Mehrere unabh\u00e4ngige Verifizierer h\u00e4tten die gef\u00e4lschte Burn-Meldung mit hoher Wahrscheinlichkeit entlarvt.<\/p>\n\n\n\n

    Warum Cross-Chain-Br\u00fccken das schw\u00e4chste Glied der DeFi-Welt sind<\/h2>\n\n\n\n

    Der KelpDAO-Fall ist kein Einzelfall, sondern Symptom. Cross-Chain-Br\u00fccken z\u00e4hlen seit Jahren zu den lukrativsten Zielen f\u00fcr Angreifer. Sie b\u00fcndeln gro\u00dfe Wertmengen an einem einzigen Punkt und m\u00fcssen Vertrauen zwischen Systemen herstellen, die einander nicht kennen. Die Ronin-Br\u00fccke (2022) und die Wormhole-Br\u00fccke (2022) verloren jeweils Hunderte Millionen. 2026 setzt sich dieses Muster fort, nur die Methode wird subtiler.<\/p>\n\n\n\n

    Galaxy Research betont in seiner Analyse des Vorfalls, dass die Risiken nicht im einzelnen Protokoll liegen, sondern in der Verkettung. rsETH war Sicherheit in Lending-M\u00e4rkten, Handelspaar an B\u00f6rsen und Br\u00fccken-Token zugleich. F\u00e4llt ein Glied dieser Kette, wankt die ganze Konstruktion. Der Angriff legte offen, wie eng moderne DeFi-Protokolle verflochten sind und wie ein einzelner manipulierter Datenpunkt eine systemische Kettenreaktion ausl\u00f6sen kann.<\/p>\n\n\n\n

    Hinzu kommt ein \u00f6konomisches Problem. Br\u00fccken konkurrieren um niedrige Geb\u00fchren und hohe Geschwindigkeit. Sicherheitsmechanismen wie mehrere unabh\u00e4ngige Verifizierer kosten Geld und Zeit. Die 1-von-1-Konfiguration von KelpDAO war eine bewusste Abw\u00e4gung zugunsten von Effizienz. Der Hack zeigt, dass diese Rechnung gef\u00e4hrlich kippen kann. F\u00fcr DeFi-Nutzer bedeutet das: Die wahre Angriffsfl\u00e4che liegt oft nicht im Protokoll, das sie sehen, sondern in der Infrastruktur dahinter.<\/p>\n\n\n\n

    Die Spur f\u00fchrt nach Nordkorea: Lazarus und TraderTraitor<\/h2>\n\n\n\n

    Wenige Tage nach dem Angriff legten die Ermittler ihre Zuordnung vor. Chainalysis schreibt den Diebstahl mit hoher Sicherheit der nordkoreanischen Lazarus Group zu, genauer der Untergruppe TraderTraitor. LayerZero nennt in seinem Post-Mortem dieselbe Spur, allerdings mit vorl\u00e4ufiger Einsch\u00e4tzung. Die Zuordnung st\u00fctzt sich auf Transaktionsmuster, Wallet-Verbindungen und das historische Verhalten der Gruppe, die seit Jahren auf Krypto-Diebstahl als staatliche Einnahmequelle setzt.<\/p>\n\n\n\n

    Die Brisanz steigt durch eine zweite Spur. Nur 17 Tage vor KelpDAO, am 1. April 2026, verlor das Drift Protocol rund 285 Millionen Dollar. Auch dieser Angriff wird laut den Sicherheitsfirmen Lazarus und TraderTraitor zugeschrieben. Damit verantwortet eine einzige Akteursgruppe binnen weniger als drei Wochen \u00fcber 577 Millionen Dollar an gestohlenen Krypto-Werten und ist mit Abstand die gr\u00f6\u00dfte Bedrohung des ersten Halbjahrs 2026.<\/p>\n\n\n\n

    Der Kontext untermauert das Muster. Laut Chainalysis stahlen nordkoreanische Akteure 2025 rund 2,02 Milliarden Dollar in Krypto-Werten. Der Bybit-Hack vom 21. Februar 2025, bei dem 400.000 ETH im Wert von etwa 1,4 Milliarden Dollar entwendet wurden, gilt als der gr\u00f6\u00dfte Einzeldiebstahl der Branchengeschichte und wird ebenfalls mit Pj\u00f6ngjang in Verbindung gebracht. Krypto-Diebstahl ist f\u00fcr das Regime kein Randph\u00e4nomen, sondern ein strategisches Werkzeug zur Devisenbeschaffung unter Sanktionen.<\/p>\n\n\n\n

    Wie die Beute gewaschen wurde<\/h2>\n\n\n\n

    Der Angreifer verlor keine Zeit. Statt die gestohlenen rsETH direkt zu verkaufen und damit den Preis zu dr\u00fccken, hinterlegte er sie als Sicherheit in den Lending-Protokollen Aave, Compound und Euler. Gegen diese Sicherheit lieh sich der T\u00e4ter gesch\u00e4tzte 236 Millionen Dollar in WETH und wstETH, also in liquideren und schwerer nachverfolgbaren Verm\u00f6genswerten. Dieser Trick verwandelt hei\u00dfe, markierte Token in scheinbar saubere Liquidit\u00e4t.<\/p>\n\n\n\n

    Anschlie\u00dfend verteilte der Angreifer die Mittel auf Ethereum und Arbitrum und splittete sie in zwei Tranchen, rund 178 Millionen auf dem Ethereum-Mainnet und etwa 72 Millionen auf Layer 2. Entgegen mancher Erwartung gibt es in den vorliegenden Berichten keinen Beleg f\u00fcr den Einsatz von Tornado Cash. Die W\u00e4sche lief prim\u00e4r \u00fcber DeFi-Lending und netzwerk\u00fcbergreifende Swaps, ein zunehmend verbreitetes Vorgehen, das klassische Mixer ersetzt.<\/p>\n\n\n\n

    Nicht alles entkam. Das Arbitrum Security Council fror in Abstimmung mit den Ermittlern \u00fcber 30.000 ETH der nachgelagerten Wallets ein. Freiwillig zur\u00fcckgegeben hat der Angreifer nichts. Der Gro\u00dfteil der rund 292 Millionen Dollar bleibt verschwunden oder in der Kontrolle der T\u00e4ter. Die eingefrorenen Mittel zeigen jedoch, dass koordinierte Reaktionen von Validatoren und Sicherheitsfirmen zumindest Teilerfolge erzielen k\u00f6nnen, wenn sie schnell genug greifen.<\/p>\n\n\n\n

    Marktauswirkungen: rsETH-Depeg und Notfallmodus bei Aave und Ethena<\/h2>\n\n\n\n

    Die Folgen blieben nicht auf KelpDAO beschr\u00e4nkt. Unmittelbar nach dem Diebstahl l\u00f6ste sich rsETH von seiner Kopplung an ETH. Der Token verlor deutlich an Wert, weil der Markt das Vertrauen in seine Deckung verlor. Ein Liquid Restaking Token ist nur so viel wert wie die ETH, die ihn besichern. Wenn ein Sechstel der zirkulierenden Menge pl\u00f6tzlich in falschen H\u00e4nden liegt, ger\u00e4t dieses Versprechen ins Wanken.<\/p>\n\n\n\n

    Der Depeg zwang gro\u00dfe Protokolle in den Notfallmodus. Aave, Spark, Fluid, Lido und Ethena pausierten oder begrenzten ihre rsETH-Engagements, um eine Ansteckung zu verhindern. Diese Notbremsen verdeutlichen, wie eng die DeFi-Welt verkn\u00fcpft ist. Ein kompromittierter Token kann binnen Stunden Lending-M\u00e4rkte einfrieren, an denen Milliarden h\u00e4ngen. Galaxy Research bezeichnete den Vorfall als Stresstest f\u00fcr die gesamte Restaking-Architektur.<\/p>\n\n\n\n

    Bemerkenswert ist die Ruhe der Leitm\u00e4rkte. W\u00e4hrend rsETH einbrach und DeFi-Protokolle zitterten, blieb der Bitcoin-Kurs weitgehend unbeeindruckt. Diese Entkopplung zeigt eine Reifung des Marktes: Ein 292-Millionen-Hack ersch\u00fcttert ein Nischensegment, ohne den gesamten Kryptomarkt mitzurei\u00dfen. 2021 oder 2022 h\u00e4tte ein vergleichbarer Vorfall wom\u00f6glich breitere Panik ausgel\u00f6st. 2026 bleibt die Wirkung lokal, was sowohl f\u00fcr Robustheit als auch f\u00fcr die wachsende Spezialisierung der Risiken spricht.<\/p>\n\n\n\n

    KelpDAO, Drift und Bybit: die gr\u00f6\u00dften Krypto-Hacks im Vergleich<\/h2>\n\n\n\n

    Um die Dimension des KelpDAO-Diebstahls einzuordnen, hilft ein Blick auf die gr\u00f6\u00dften Vorf\u00e4lle der j\u00fcngeren Vergangenheit. Die folgende Tabelle vergleicht zentrale Kennzahlen. Sie macht deutlich, dass 2026 zwar viele Angriffe sieht, der Bybit-Hack von 2025 in absoluten Zahlen aber weiter alles \u00fcberragt.<\/p>\n\n\n\n

    \n
    Vorfall<\/th>Datum<\/th>Schaden (USD)<\/th>Methode<\/th>Zugeschrieben<\/th><\/tr><\/thead>
    Bybit<\/td>21.02.2025<\/td>1,4 Mrd.<\/td>Kompromittierte Hot Wallet \/ Schl\u00fcssel<\/td>Nordkorea (Lazarus)<\/td><\/tr>\n
    KelpDAO<\/td>18.04.2026<\/td>292 Mio.<\/td>RPC-Poisoning, 1-von-1-DVN-Br\u00fccke<\/td>Lazarus \/ TraderTraitor<\/td><\/tr>\n
    Drift Protocol<\/td>01.04.2026<\/td>285 Mio.<\/td>Br\u00fccken- bzw. Protokoll-Exploit<\/td>Lazarus \/ TraderTraitor<\/td><\/tr>\n
    Privatperson (Trezor)<\/td>Januar 2026<\/td>282 Mio.<\/td>Social Engineering, Root-Key<\/td>nicht best\u00e4tigt<\/td><\/tr>\n
    Step Finance<\/td>Ende Jan. 2026<\/td>27 bis 30 Mio.<\/td>Kompromittierte Treasury-Wallets<\/td>nicht best\u00e4tigt<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

    Die Gegen\u00fcberstellung offenbart einen Methodenwandel. Bybit fiel 2025 noch \u00fcber kompromittierte Schl\u00fcssel einer zentralen B\u00f6rse. 2026 verlagert sich der Schwerpunkt auf Infrastruktur-Angriffe gegen dezentrale Br\u00fccken und auf raffiniertes Social Engineering. Die Summen pro Vorfall sinken im Vergleich zu Bybit, doch die H\u00e4ufigkeit steigt. Anleger sehen sich nicht mehr einem seltenen Mega-Hack gegen\u00fcber, sondern einer Serie mittelgro\u00dfer, technisch ausgefeilter Angriffe.<\/p>\n\n\n\n

    Stimmen aus der Sicherheitsbranche<\/h2>\n\n\n\n

    Die f\u00fchrenden Analyseh\u00e4user sind sich in der Einordnung weitgehend einig. Chainalysis<\/strong> h\u00e4lt in seinem Bericht fest, dass der Angriff mit hoher Sicherheit auf Lazarus und die Untergruppe TraderTraitor zur\u00fcckgeht und sich nahtlos in das Muster nordkoreanischer Krypto-Operationen einf\u00fcgt. Das Analysehaus betont, dass das schnelle Einfrieren von \u00fcber 30.000 ETH durch das Arbitrum Security Council nur dank koordinierter On-Chain-\u00dcberwachung gelang.<\/p>\n\n\n\n

    Die Sicherheitsfirma Halborn<\/strong> stellt in ihrem Post-Mortem klar, dass nicht der Smart Contract das Problem war, sondern die Konfiguration der Br\u00fccke. Ein 1-von-1-DVN-Aufbau, so die Analyse, entferne jede Redundanz und mache die gesamte Wertkette von einer einzigen Datenquelle abh\u00e4ngig. Galaxy Research<\/strong> schreibt, der Vorfall lege die strukturellen Risiken von DeFi-Lending, Br\u00fccken und Multisig-Sicherheit gleicherma\u00dfen offen und sei ein Weckruf f\u00fcr die gesamte Restaking-Branche.<\/p>\n\n\n\n

    Aus dem Post-Mortem von LayerZero<\/strong> geht hervor, dass die signierenden Schl\u00fcssel nie kompromittiert wurden und der Angriff allein auf der Manipulation der zugelieferten Daten beruhte. Diese Differenzierung ist wichtig: Sie verschiebt die Schuldfrage von der Kryptografie hin zur Architekturentscheidung. Alle vier Quellen, Chainalysis, Halborn, Galaxy Research und LayerZero, stimmen in den Kernfakten \u00fcberein, von Datum und Summe bis zur Methode. Diese Konsistenz verleiht der Rekonstruktion ungew\u00f6hnlich hohe Belastbarkeit.<\/p>\n\n\n\n

    Historischer Kontext: von Mt. Gox bis zum Rekordjahr 2026<\/h2>\n\n\n\n

    Krypto-Diebst\u00e4hle sind so alt wie die Branche selbst. 2014 verlor die B\u00f6rse Mt. Gox Bitcoin im Wert von Hunderten Millionen und ging unter. Es folgten Coincheck (2018), die DeFi-Welle ab 2020 und die gro\u00dfen Br\u00fccken-Hacks von Ronin und Wormhole 2022. Mit jeder Generation verschob sich die Angriffsfl\u00e4che: von schlecht gesicherten B\u00f6rsen \u00fcber fehlerhafte Smart Contracts bis hin zur heutigen Off-Chain-Infrastruktur.<\/p>\n\n\n\n

    2025 markierte einen traurigen H\u00f6hepunkt. Laut Chainalysis summierten sich die gestohlenen Krypto-Werte auf rund 3,4 Milliarden Dollar, ein erheblicher Teil davon ging auf das Konto nordkoreanischer Akteure mit 2,02 Milliarden. Der Bybit-Hack allein machte mit 1,4 Milliarden den L\u00f6wenanteil aus. Zum Vergleich: 2024 lagen die Verluste laut Branchendaten bei etwa 2,2 Milliarden Dollar. Die Kurve zeigt steil nach oben.<\/p>\n\n\n\n

    2026 setzt diesen Trend fort. Schon im Januar gingen laut Monitoring-Diensten rund 385 Millionen Dollar bei gr\u00f6\u00dferen Angriffen verloren, sieben DeFi-Protokolle verzeichneten Sch\u00e4den \u00fcber je einer Million, zusammen etwa 86 Millionen. Bis Mitte April \u00fcberstiegen die reinen DeFi-Verluste 750 Millionen Dollar. KelpDAO und Drift trieben diese Summe ma\u00dfgeblich. Sollte sich das Tempo halten, droht 2026 das bisherige Rekordjahr zu \u00fcbertreffen.<\/p>\n\n\n\n

    Was der Hack f\u00fcr Anleger in \u00d6sterreich und im DACH-Raum bedeutet<\/h2>\n\n\n\n

    F\u00fcr Anlegerinnen und Anleger in \u00d6sterreich liegt die Lehre weniger im einzelnen Protokoll als im Prinzip. Wer rsETH oder \u00e4hnliche Liquid Restaking Token h\u00e4lt, tr\u00e4gt nicht nur das Risiko des Basisprotokolls, sondern jeder Br\u00fccke und jeder Datenquelle in der Kette. Diese verschachtelten Abh\u00e4ngigkeiten sind f\u00fcr Privatpersonen kaum durchschaubar. Die einfachste Schutzma\u00dfnahme bleibt die Verwahrung gr\u00f6\u00dferer Best\u00e4nde in einer Hardware-Wallet au\u00dferhalb der DeFi-Protokolle.<\/p>\n\n\n\n

    Auch regulatorisch ist der DACH-Raum betroffen. Mit der EU-Verordnung MiCA gelten seit 2024\/2025 erstmals einheitliche Regeln f\u00fcr Krypto-Dienstleister, doch dezentrale Protokolle wie KelpDAO fallen weitgehend durch das Raster. Anleger, die \u00fcber \u00f6sterreichische oder europ\u00e4ische Plattformen indirekt rsETH-Exposure halten, sollten pr\u00fcfen, welche Br\u00fccken- und Verwahrrisiken ihr Anbieter eingeht. Transparenz \u00fcber die genutzte Infrastruktur wird zum entscheidenden Auswahlkriterium.<\/p>\n\n\n\n

    Die Bedrohung durch staatliche Akteure versch\u00e4rft das Bild. Wenn eine professionelle, staatlich gest\u00fctzte Gruppe wie Lazarus binnen drei Wochen \u00fcber eine halbe Milliarde Dollar abr\u00e4umt, reicht private Vorsicht allein nicht. Sicherheitsbeh\u00f6rden in \u00d6sterreich, Deutschland und der Schweiz warnen seit Jahren vor der wachsenden Verzahnung von Cyberkriminalit\u00e4t und Geopolitik. Der KelpDAO-Fall ist daf\u00fcr ein Lehrst\u00fcck, dessen Schlussfolgerungen weit \u00fcber die Krypto-Nische hinausreichen.<\/p>\n\n\n\n

    F\u00fcnf Prognosen f\u00fcr die DeFi-Sicherheit 2026 und 2027<\/h2>\n\n\n\n

    Aus dem Vorfall und den Branchendaten lassen sich f\u00fcnf belastbare Entwicklungen ableiten:<\/p>\n\n\n\n