292-Millionen-Dollar-rsETH-Exploit offenbart Cross-Chain-Risiken, zwingt Kelp zur Abschaltung und Aave-Märkte zum Einfrieren angesichts von Forderungsausfall-Bedenken.
Ein schwerwiegender Sicherheitsverstoß hat Kelp DAO getroffen und das Protokoll nach einem großangelegten Cross-Chain-Exploit schwer angeschlagen. Am frühen Samstag entleerte ein Angreifer einen beträchtlichen Teil des rsETH-Angebots über eine mutmaßliche LayerZero-Schwachstelle. On-Chain-Daten deuten auf eine sorgfältig vorbereitete Operation hin, bei der Verschleierungstools und gezielte Vertragsaufrufe zum Einsatz kamen. Die Marktreaktionen folgten schnell, mit Auswirkungen auf verwandte DeFi-Plattformen.
Kelp DAO friert Protokoll nach versuchtem 292-Millionen-Dollar-Cross-Chain-Exploit ein
Angreifer leiteten etwa 116.500 rsETH ab, was zum aktuellen Kurs etwa 292 Millionen US-Dollar entspricht. Blockchain-Aufzeichnungen zeigen, dass der Abfluss um 17:35 UTC durch einen Aufruf der „lzReceive“-Funktion im EndpointV2-Vertrag von LayerZero erfolgte. Dieser Aufruf veranlasste Kelps Bridge-System, Gelder direkt an eine vom Angreifer kontrollierte Adresse freizugeben.
Die Finanzierung des Exploits datiert etwa 10 Stunden zurück. Der Angreifer nutzte den 1-ETH-Pool von Tornado Cash, eine Methode, die oft mit Transaktionsverschleierung in Verbindung gebracht wird. Kurz nach dem Vorfall meldete der Blockchain-Ermittler ZachXBT den Vorfall und schätzte die Verluste über Ethereum und Arbitrum auf mehr als 280 Millionen US-Dollar.
Kelp DAO reagierte innerhalb einer Stunde, wobei sein Notfall-Multisig eine „pauseAll“-Funktion in wichtigen Verträgen ausführte. Betroffene Systeme umfassten den LRT-Deposit-Pool, das Auszahlungsmodul, das Oracle und das rsETH-Token selbst. Diese Maßnahme stoppte weiteren Schaden und verhinderte zusätzliche Abhebungen.
Zwei Folgeanträge des Angreifers schlugen fehl. Transaktionen um 18:26 und 18:28 UTC versuchten, weitere 40.000 rsETH im Wert von etwa 100 Millionen US-Dollar abzuziehen. Beide wurden aufgrund des angehaltenen Protokollzustands abgelehnt. Ohne dieses Eingreifen hätten die Gesamtverluste auf fast 391 Millionen US-Dollar steigen können.
Earlier today we identified suspicious cross-chain activity involving rsETH. We have paused rsETH contracts across mainnet and several L2s while we investigate.
We are working with @LayerZero_Core, @unichain, our auditors and top security experts on RCA.
We will keep you…
— Kelp (@KelpDAO) April 18, 2026
Kelp bestätigte später „verdächtige Cross-Chain-Aktivitäten“ in einer um 20:10 UTC veröffentlichten öffentlichen Erklärung. Das Team gab an, Verträge auf dem Mainnet und mehreren Layer-2-Netzwerken angehalten zu haben, während untersucht wird. Es wird mit LayerZero, Unichain, Prüfern und externen Sicherheitsspezialisten zusammengearbeitet.
Aave friert rsETH-Märkte ein, nachdem Kelp-Bridge-Exploit Forderungsausfall-Ängste schürt
Der Fokus richtet sich auf Kelps Omnichain Fungible Token-Bridge. Dieses System ermöglicht rsETH-Transfers über Netzwerke hinweg und scheint zentral für den Exploit-Pfad zu sein. Der gestohlene Betrag entspricht etwa 18 % der im Umlauf befindlichen rsETH-Menge, die auf 630.000 Token geschätzt wird. Der Asset ist in mehr als 20 Netzwerken aktiv, darunter Arbitrum, Base und Scroll.
Die Auswirkungen breiteten sich auf andere Protokolle aus, insbesondere auf Kreditmärkte. AAVE fiel um etwa 10 %, nachdem Berichte aufgetaucht waren, dass die Plattform möglicherweise Forderungsausfällen im Zusammenhang mit rsETH-Positionen ausgesetzt sein könnte. Daraufhin frohr Aave die rsETH-Märkte sowohl auf V3- als auch auf V4-Bereitstellungen ein.
The rsETH markets on Aave V3 and Aave V4 have been frozen. Aave's contracts have not been exploited and this is an exploit related to rsETH.
The freeze follows an exploit of the Kelp DAO rsETH bridge. Freezing the rsETH markets prevents new deposits and borrowing against rsETH…
— Aave (@aave) April 18, 2026
Aave stellte klar, dass seine Smart Contracts nicht kompromittiert wurden. Stattdessen liegt das Problem beim rsETH selbst. Das Team überprüft nun die mit dem Exploit verbundene Kreditaktivität. Erste Aussagen verwiesen auf eine mögliche Nutzung des Umbrella-Sicherheitsmoduls, spätere Aktualisierungen milderten diese Haltung jedoch ab. Aave erklärt nun, Optionen zu prüfen, sollten Verluste tatsächlich entstehen.
Wiederholter Vorfall schürt Alarm über Kelp DAOs Sicherheit und Cross-Chain-Risiken
Der Vorfall am Samstag markiert Kelp DAOs zweite größere Störung innerhalb eines Jahres. Im April 2025 hatte ein Fehler in seinem Gebührenvertrag eine übermäßige Prägung von rsETH verursacht. Dieses Ereignis führte zu einer vorübergehenden Pause, aber nicht zu Verlusten von Nutzergeldern.
Aktuell wird rsETH bei etwa 2.500 US-Dollar gehandelt, was die Unsicherheit über die Stabilität des Protokolls widerspiegelt. Kelp DAO und Mitgründer Amitej Gajjala haben über die ersten Erklärungen hinaus noch keine weiteren Details geliefert.
Die Aufmerksamkeit richtet sich nun auf die Ursachenanalyse und potenzielle Erholungswege. Das Ausmaß des Exploits weckt größere Bedenken hinsichtlich der Sicherheit von Cross-Chain-Bridges. Während die Untersuchungen andauern, stehen sowohl Nutzer als auch mit rsETH verbundene Protokolle vor erhöhten Risiken und anhaltender Unsicherheit.
Schreibe einen Kommentar