Ein massiver Cyberangriff auf das DeFi-Projekt KelpDAO hat zur Entwendung von rund 290 Mio. US‑Dollar in rsETH-Token geführt. Nach ersten Analysen handelt es sich um eine hochgradig koordinierte Cross-Chain-Attacke, bei der nicht die Smart Contracts selbst, sondern die darunterliegende Infrastruktur kompromittiert wurde. Sicherheitsforscher sehen Parallelen zu bekannten Operationen der nordkoreanischen Lazarus-Gruppe, insbesondere der Untereinheit TraderTraitor.
KelpDAO, rsETH und Liquid-Restaking: warum dieser DeFi-Hack systemrelevant ist
KelpDAO ist ein DeFi-Protokoll für Liquid-Restaking auf Ethereum. Nutzer hinterlegen ETH, die über Restaking-Lösungen weiterverwendet werden, und erhalten im Gegenzug den Derivat-Token rsETH. Dieser Token repräsentiert den Anspruch auf die gestakten ETH und kann als Sicherheiten in Lending-Protokollen, für Yield-Farming oder über Cross-Chain-Brücken in andere Netzwerke transferiert werden.
Laut on-chain-Daten wurden etwa 116.500 rsETH entwendet – ein Volumen von rund 292–293 Mio. US‑Dollar. Das entspricht ungefähr 18 % des zirkulierenden Angebots von rsETH (rund 630.000 Token). Da rsETH in mehr als 20 Netzwerken wie Base, Arbitrum, Mantle oder Scroll eingesetzt wird, betrifft der Angriff nicht nur KelpDAO selbst, sondern die gesamte Liquid-Restaking- und DeFi-Infrastruktur, die diesen Vermögenswert akzeptiert.
Technische Analyse des KelpDAO-Hacks: Angriff auf DVN- und RPC-Infrastruktur
Manipulation der Decentralized Verification Network (DVN)-Schicht
Kern des Angriffs war nicht ein klassischer Smart-Contract-Exploit, sondern die gezielte Kompromittierung des Verifizierungslayers für Cross-Chain-Nachrichten. KelpDAO setzt dabei auf ein Decentralized Verification Network (DVN), das u. a. in Verbindung mit der Cross-Chain-Infrastruktur von LayerZero prüft, ob Nachrichten zwischen verschiedenen Blockchains gültig sind.
Die Angreifer schafften es, die Datenbasis des DVN zu manipulieren, anstatt die Logik des Protokolls direkt zu brechen. Dadurch konnte ein scheinbar legitimes, tatsächlich aber gefälschtes Cross-Chain-Event erzeugt und verifiziert werden, das letztlich den unautorisierten Abzug großer Mengen rsETH auslöste.
Rolle kompromittierter RPC-Nodes und kombinierter DDoS-Angriff
Nach vorliegenden Informationen nutzten die Angreifer manipulierte oder kontrollierte RPC-Nodes als Einfallstor. RPC-Endpunkte dienen Knotenbetreibern, Protokollen und Anwendungen als Schnittstelle zum Blockchain-Netzwerk. Indem auf kompromittierten RPC-Servern falsche Blockchain-Daten bereitgestellt wurden, erhielt das DVN ein verfälschtes Bild des tatsächlichen Chain-Zustands.
Parallel dazu wurde eine DDoS-Attacke auf unverfälschte Nodes gefahren. Dadurch standen dem DVN in der kritischen Phase nur noch „vergiftete“ Datenquellen zur Verfügung. In der Folge wurden gefälschte Nachrichten als gültig akzeptiert und die rsETH-Transaktionen on-chain autorisiert.
Verschleierung der Geldflüsse über Tornado Cash
Unmittelbar nach der Entwendung begannen die Täter mit der Geldwäsche der gestohlenen rsETH. Hierfür kamen Privacy-Tools wie Tornado Cash zum Einsatz. Mixer bündeln Einzahlungen vieler Nutzer und zahlen sie in zufälligen Tranchen wieder aus, wodurch die direkte Zuordnung zwischen Quelle und Ziel erheblich erschwert wird.
On-Chain-Analysten – darunter LayerZero, Unichain sowie der unabhängige Ermittler ZachXBT – verfolgen die Spuren dennoch weiter. Frühere Untersuchungen, u. a. von Chainalysis und Elliptic, zeigen, dass staatlich unterstützte Gruppen wiederholt Mixer und komplexe Routing-Strategien nutzen, um Sanktionen und Strafverfolgung zu umgehen.
Verdacht auf Lazarus und TraderTraitor: Muster bekannter nordkoreanischer DeFi-Angriffe
LayerZero und weitere Experten sehen deutliche Überschneidungen mit bekannten Operationen der Lazarus-Gruppe und ihres DeFi-fokussierten Arms TraderTraitor. Zu den Indikatoren zählen Infrastruktur-Signaturen, Wallet-Verhaltensmuster und Taktiken, Techniken und Prozeduren (TTPs), die auch bei früheren Angriffen auf DeFi-Brücken und Börsen beobachtet wurden.
Internationale Berichte – darunter der UN-Sanktionsausschuss und Analysen von Chainalysis – ordnen Lazarus bereits Milliardenverluste durch Krypto-Diebstähle zu, etwa bei den Angriffen auf Ronin Bridge und Horizon Bridge. Charakteristisch sind dabei mehrstufige Kampagnen, die Infrastrukturangriffe, Exploits und Social Engineering kombinieren, um große Volumina digitaler Assets für das nordkoreanische Regime zu beschaffen.
Im aktuellen Fall betonen die Ermittler, dass der Exploit ausschließlich rsETH und den damit verknüpften Cross-Chain-Mechanismus betrifft. Andere Smart Contracts der beteiligten Ökosysteme wurden bislang nicht als kompromittiert eingestuft – ein Hinweis auf einen hochpräzisen Angriff auf die Verifikationsschicht und nicht auf die Lending-Protokolle selbst.
Reaktion von KelpDAO, Aave, Compound und Euler auf den rsETH-Exploit
Die ungewöhnliche Aktivität rund um rsETH wurde am 18. April 2026 registriert. KelpDAO und Partnerprojekte reagierten mit einem sofortigen Stopp aller rsETH-Operationen in Ethereum Mainnet und mehreren Layer-2-Netzwerken. Ziel war es, den Schaden zu isolieren und weitere unautorisierte Transaktionen zu verhindern.
Der Kreditmarktplatz Aave fror rsETH-Märkte in den Versionen V3 und V4 ein und blockierte neue Einlagen sowie Kredite gegen rsETH als Sicherheit. Der AAVE-Token verzeichnete im Zuge der Meldungen einen Kursrückgang von rund 10 %. Das Team stellte klar, dass die Ursache im Design und der Infrastruktur von rsETH liege, nicht in Aaves eigenen Smart Contracts, und kündigte an, mögliche Liquiditätslücken zu analysieren und gegebenenfalls zu schließen.
Für KelpDAO ist es der zweite sicherheitsrelevante Vorfall innerhalb von zwölf Monaten. Bereits im April 2025 musste der Dienst Ein- und Auszahlungen wegen eines Fehlers im Gebühren-Contract aussetzen, der zu einem übermäßigen Minting von rsETH führte. Damals blieben Nutzervermögen unversehrt, doch die aktuelle Attacke verschärft Fragen nach Reifegrad, Sicherheitskultur und Governance des Projekts.
Schlussfolgerungen für DeFi-Sicherheit: Cross-Chain-Brücken und Infrastruktur im Fokus
Der KelpDAO-Hack unterstreicht, dass heute vor allem Cross-Chain-Infrastruktur und RPC-Layer zu den kritischsten Angriffsflächen im DeFi-Bereich zählen. Selbst gründlich geprüfte Smart Contracts bieten keinen ausreichenden Schutz, wenn die Verifikations- und Datenebene auf wenige oder schlecht geschützte Informationsquellen angewiesen ist.
Für Betreiber von DeFi-Protokollen – insbesondere im Bereich Liquid-Restaking und Cross-Chain-Brücken – ergeben sich mehrere Handlungsempfehlungen: Einsatz mehrerer unabhängiger Datenprovider, Nutzung kryptografischer Beweise (z. B. Light-Client-Ansätze), kontinuierliches Anomalie- und DDoS-Monitoring sowie regelmäßige Audits nicht nur des Codes, sondern der gesamten Infrastruktur-Architektur.
Auch Nutzer sollten ihr Risikomanagement anpassen: Diversifikation über verschiedene Derivate und Protokolle, Begrenzung der Exponierung in einem einzelnen Restaking-Asset, aktive Beobachtung von Security-Warnungen und Governance-Entscheidungen sowie die Bereitschaft, Positionen bei erkennbaren Infrastrukturproblemen konsequent zu reduzieren. Wer DeFi-Chancen nutzen will, kommt nicht darum herum, Sicherheitsfragen genauso ernst zu nehmen wie Renditeversprechen.
