Größter Hack des Jahres 2026: Was wir über den $294 Millionen KelpDAO-Exploit wissen
Mehrere On-Chain-Sicherheitsunternehmen und Branchenexperten berichteten am späten Samstag, dass das Liquid-Restaking-Protokoll KelpDAO Opfer eines großen Hacks geworden ist, bei dem die Täter fast $300 Millionen erbeuteten.
Das Team hinter dem Projekt bestätigte den Vorfall einige Stunden später und teilte mit, dass sie mit LayerZero, Unichain, ihren Prüfern und führenden Sicherheitsexperten zusammenarbeiten, um das Problem zu lösen.
Der größte Hack des Jahres 2026
Cyvers gehörte zu den Sicherheitsressourcen, die den Einbruch in seiner Anfangsphase erkannten und später eine detailliertere Erklärung abgaben. Laut einem von ihnen geteilten Bericht nutzte der Angreifer den Bridge-Vertrag des Protokolls aus und entwendete etwa $293,7 Millionen aus dem Liquid-Restaking-Token rsETH.
Der Täter handelte schnell, nachdem er die Kontrolle über die Gelder erlangt hatte, und tauschte sie in ETH um. Er verteilte sie über Ethereum und Arbitrum, wobei die On-Chain-Aktivitäten zeigten, dass der Angreifer die Gelder in zwei Chargen aufteilte: $178 Millionen auf Ethereum und $72 Millionen auf der Layer-2-Kette.
Das gestohlene rsETH wurde in Kreditprotokollen wie Aave V3, Compound V3 und Euler hinterlegt. Mit den unrechtmäßig erlangten Mitteln lieh er erhebliche Mengen WETH, wodurch Schulden in Höhe von über $236 Millionen entstanden.
Cyvers erklärte, dass ein Angreifer unbesicherte rsETH erzeugen und dann verwenden kann, um reale Vermögenswerte wie ETH zu leihen, was "genau der Grund ist, warum solche Exploits so schnell eskalieren". Die Sicherheitsexperten fügten hinzu, dass dies sofort zu einem Protokoll-übergreifenden Ansteckungsereignis wurde, nicht nur zu einem einzelnen Protokoll-Exploit. Solche Vermögenswerte, die tief in Kredit-, Tresor- und Liquiditätsprotokolle integriert sind, sind besonders anfällig für ähnliche Vorfälle, und ein Ausfall "bleibt nicht isoliert".
"It spreads instantly, creating bad debt, forcing market freezes, and impacting multiple platforms at once."
Aave V3 fror die rsETH-Märkte ein, SparkLend schränkte die Exposition ein, während Fluid, Compound, Euler und andere Maßnahmen ergriffen, um das Risiko einzudämmen. Cyvers berichtete, dass mindestens neun Protokolle betroffen waren.
Reaktionen von KelpDAO
Der offizielle X-Account des Projekts bestätigte den Einbruch, nachdem sie "verdächtige Cross-Chain-Aktivitäten im Zusammenhang mit rsETH" identifiziert hatten. Sie erklärten, dass sie diese Verträge im Mainnet und auf mehreren Layer-2s pausiert haben, während die Untersuchung fortgesetzt wird.
Obwohl sie mit LayerZero, Unichain, Prüfern und anderen Sicherheitsexperten an der Angelegenheit arbeiten, gab es in den letzten zehn Stunden keine weiteren Updates darüber, wie es weitergeht und was die Nutzer erwarten können.
Der Hack von KelpDAO ist bisher der größte in der Branche im Jahr 2026 und übertrifft den bisherigen "Rekordhalter", das Drift-Protokoll, dessen Exploit $280 Millionen betrug.
