Keine Pressemitteilung. Kein Vorwarnung. Nur eine anomale Bewegung von 116.500 rsETH um 03:41 UTC am 18. April 2026. Der größte DeFi-Angriff des Jahres 2026 begann nicht mit einer Explosion, sondern mit einer Operation, die völlig normal wirkte.
Security Incident Report
Protokoll
Kelp DAO (rsETH Bridge)
Entwendeter Betrag
292 Millionen Dollar (116.500 rsETH)
Chain
Ethereum Mainnet + 20+ L2 (Base, Arbitrum, Linea, Blast, Mantle, Scroll)
Datum
18. April 2026, 03:41 UTC
Angriffsvektor
Sicherheitslücke im Cross-Chain-Bridge, der auf LayerZero aufgebaut war und die rsETH-Reserve auf über 20 Blockchains verwaltete. Der Angreifer nutzte die Lücke, um 116.500 rsETH aus der Bridge-Reserve zu transferieren. Anschließend hinterlegte er 89.567 rsETH auf Aave als Sicherheit und lieh sich 190,86 Millionen Dollar in Wrapped Ether, während das Aave-Orakel rsETH noch zum Preis vor dem Exploit bewertete.
Protokollreaktion
Kelp DAO hat die rsETH-Contracts auf Mainnet und L2 nach Erkennung der verdächtigen Aktivität pausiert. Aave hat die rsETH-Märkte eingefroren, um neue Einlagen und Kredite gegen diese Sicherheit zu verhindern. Offizielles Kelp-DAO-Statement auf X: 06:00 UTC, 18. April 2026.
Quelle: PeckShield · CertiK · CoinDesk · Cybernews · Bank Policy Institute · 18., 20. April 2026
Quelle: PeckShield · CertiK · CoinDesk · Cybernews · Bank Policy Institute · 18., 20. April 2026
Wie die Aave-Orakel-Manipulation den Schaden multiplizierte
In der Praxis: der direkte Schaden durch die LayerZero-Bridge belief sich laut PeckShield auf 292 Millionen Dollar. Die Verstärkung durch Aave trug den Gesamtschaden auf eine systemisch andere Ebene.
Der Angreifer hinterlegte 89.567 rsETH auf Aave als Sicherheit. Das Problem lag im Preisorakel von Aave: Es prüft nicht die Herkunft hinterlegter Assets, sondern nur deren Marktwert zum Zeitpunkt der Einzahlung. Um 03:41 UTC wurde rsETH noch zum Preis vor dem Exploit bewertet. Der Angreifer lieh sich so 190,86 Millionen Dollar in Wrapped Ether gegen Sicherheiten, die der Markt kurz darauf drastisch abwerten sollte. Als Aave die rsETH-Märkte einfror, waren 190 Millionen Dollar echter Ether bereits aus dem Protokoll abgeflossen.
In den darauffolgenden 48 Stunden verlor Aave laut CoinDesk 8,45 Milliarden Dollar an Gesamteinlagen: von 26,35 Milliarden auf 17,9 Milliarden Dollar. Mehr als 13 Milliarden Dollar flossen in dieser Reaktion aus dem gesamten DeFi-Ökosystem ab. Stani Kulechov, Gründer von Aave, erklärte in einem X-Post, dass die Aave-Contracts selbst nicht kompromittiert worden seien: Das Problem liege im als Sicherheit akzeptierten Asset. Eine technisch wichtige Unterscheidung. Die Abflüsse stoppte sie nicht.
Es ist nicht das erste Liquid-Staking-Protokoll, das über einen ähnlichen Angriffsvektor fällt. Drift Protocol hatte im März 2026 auf Solana einen Angriff über 286 Millionen Dollar erlitten, wobei laut einer Analyse von Elliptic ein Verdacht auf nordkoreanisch verbundene Gruppen bestand. Zwei separate Ereignisse, zwei verschiedene Vektoren, eine Woche Abstand. Bis zum 20. April 2026 überstiegen die DeFi-Schäden des Jahres 2026 bereits 775 Millionen Dollar.
Was sich für institutionelle DeFi jetzt ändert
Apollo Global Management und BlackRock haben laut CoinDesk ihre Expansionspläne im Bereich Onchain-Finance nach dem Exploit nicht geändert. Die Haltung institutioneller Akteure ist pragmatisch: Das Problem liegt nicht in der DeFi als solcher, sondern im aktuellen Verteidigungsstand ihrer Infrastruktur.
„Jede Schicht des DeFi-Stacks muss Sicherheit zur absoluten Priorität machen. Erst recht im Zeitalter der künstlichen Intelligenz, die bestimmte Angriffsvektoren erheblich schneller aufbaubar macht.“
PeckShield verfolgte die Bewegungen der gestohlenen Gelder zu Adressen, die mit Tornado Cash in Verbindung stehen: Laut der Analyse von PeckShield befanden sich bis 08:00 UTC am 18. April bereits 180 Millionen Dollar im Mixing-Prozess. Eine Rückgewinnung ist in diesem Fall nahezu ausgeschlossen.
In den kommenden Wochen sind folgende Entwicklungen zu beobachten: die Diskussionen über eine verpflichtende Multi-Quellen-Validierung für Preisorakel in führenden Protokollen, der Kelp-DAO-Vorschlag zum Entschädigungsfonds für betroffene Nutzer sowie die Positionen der EZB. Die Europäische Zentralbank hat den Exploit am 2. Mai ausdrücklich als weiteres Argument für die prudenzielle Aufsicht über DeFi-Assets im Rahmen der MiCA-Überprüfung 2026 angeführt. Christine Lagarde sprach von systemischer Stabilität. Diesmal mit konkreten Zahlen im Rücken.
