Kelp DAO Hack: 293 Millionen Dollar aus Restaking-Bridge gestohlen

Am Abend des 18. April 2026 wurde der Kelp DAO Hack zum größten DeFi-Exploit des Jahres. Ein Angreifer drainierte 116.500 rsETH im Wert von rund 293 Mio. US-Dollar aus der LayerZero-Bridge des Restaking-Protokolls. Rund 18 Prozent des gesamten rsETH-Supplys verschwanden in einer einzigen Transaktion.

Angreifer drainiert 116.500 rsETH aus Kelp DAO LayerZero-Bridge

Um 17:35 UTC rief eine Angreifer-Wallet die Funktion lzReceive auf dem EndpointV2-Contract von LayerZero auf. Damit wurde die Cross-Chain-Messaging-Schicht dazu gebracht, eine gültige Transfer-Anweisung aus einer anderen Kette anzunehmen, obwohl diese gefälscht war. Die manipulierte Nachricht veranlasste Kelp DAOs Bridge-Contract, 116.500 rsETH an die Angreifer-Adresse freizugeben.

Die Finanzierung der Operation erfolgte rund zehn Stunden zuvor aus einem Tornado-Cash-Pool. Kelp DAO pausierte 46 Minuten nach dem Drain per Emergency-Multisig sämtliche Kernverträge. Zwei weitere Drain-Versuche um 18:26 und 18:28 UTC über je 40.000 rsETH, zusammen rund 100 Mio. US-Dollar, wurden durch den Pause-Status blockiert. Das bestätigte Kelp DAO in einer offiziellen Stellungnahme.

Kelp DAO Hack unterstreicht Risiko zentraler Verwahrstellen in DeFi

*Anzeige

Die rsETH-Reserve in der LayerZero-Bridge stützte die gewrappten Versionen des Tokens auf über 20 Netzwerken, darunter Base, Arbitrum, Linea, Blast, Mantle und Scroll. Halter auf diesen Ketten stehen nun vor der Frage, was ihre Tokens überhaupt noch decken.

Der Kelp DAO Hack zog binnen Stunden Folgeaktionen nach sich: Aave fror die rsETH-Märkte in V3 und V4 ein, SparkLend und Fluid schlossen sich an, Lido pausierte Einzahlungen in sein earnETH-Produkt mit rsETH-Exposure. Ethena setzte vorsorglich eigene LayerZero-OFT-Bridges aus der Ethereum-Mainchain aus.

Der Angreifer hinterlegte die gestohlenen rsETH zusätzlich als Sicherheit auf Aave V3, Compound V3 und Euler, um Wrapped ETH zu leihen, und erzeugte dadurch über 280 Mio. US-Dollar an Bad Debt. AAVE verlor etwa zehn Prozent an einem Tag.

Bitcoin-Netzwerk kennt diese Bridge-Angriffsfläche nicht

Der Kelp DAO Hack ist der größte DeFi-Exploit 2026 und übertrifft damit den Drift-Protocol-Vorfall vom 1. April um einige Mio. US-Dollar. Strukturell folgt der Angriff einem vertrauten Muster: Ein zentraler Validator-Knoten in einer Cross-Chain-Bridge wird manipuliert, gespoofte Nachrichten lösen die Freigabe von Assets aus.

Damit wird Bitcoin vs DeFi zum strukturellen Kontrast. Bitcoin ist ein einziges Protokoll mit klaren Regeln und ohne eingebaute Bridges auf Layer 1. Es gibt kein Smart-Contract-System, das Tokens auf anderen Ketten verkörpern soll, und keine Messaging-Schicht, die als Single Point of Failure manipuliert werden kann.

DeFi-Systeme wie rsETH sind Derivate auf Derivate: Staked ETH wird via EigenLayer erneut verliehen, als Liquid Restaking Token auf Ethereum ausgegeben und dann über LayerZero auf 20 weitere Ketten gewrappt. Jede dieser Schichten bringt neue Angriffsflächen und neue Abhängigkeiten mit.

Der Kelp-Fall zeigt, was passiert, wenn eine dieser Schichten bricht: Der Schaden wirkt kaskadenartig durch das gesamte DeFi-Ökosystem. Genau diese Composability, die als Vorteil beworben wird, ist in der Praxis der Übertragungsweg für systemische Risiken, die Bitcoin per Design nicht hat.

Wir berichteten über das Binance Datenleck 2026 und das strukturelle Risiko zentraler Angriffsflächen.

Unser Qualitätsanspruch

Unsere Redaktionsrichtlinien bei Krypto Guru zielen darauf ab, Dir präzise, gut recherchierte und objektive Informationen im Bereich Kryptowährungen zu bieten. Jedes Stück Inhalt wird von einem Team aus erfahrenen Krypto-Experten und Redakteuren sorgfältig geprüft, um sicherzustellen, dass Du nur die verlässlichsten und aktuellsten Informationen erhältst. So kannst Du sicher sein, dass die Inhalte, die Du bei uns findest, nicht nur relevant, sondern auch von echtem Mehrwert für Dich sind.