Der 18. April 2026 wird als einer der schwärzesten Tage der DeFi-Geschichte in Erinnerung bleiben. Ein unbekannter Angreifer nutzte eine Sicherheitslücke in der Cross-Chain-Bridge von Kelp DAO, die auf LayerZero basiert, und stahl rund 116.500 rsETH — zum Zeitpunkt des Angriffs im Wert von knapp 292 Millionen Dollar. Dies ist offiziell der größte DeFi-Exploit des Jahres 2026 und übertrifft den Drift-Protocol-Vorfall um mehrere Millionen.
Die Nachricht verbreitete sich rasch, nachdem der On-Chain-Ermittler ZachXBT via Telegram Alarm schlug und sechs Wallets identifizierte, die mit dem Angreifer in Verbindung stehen — alle vorab über Tornado Cash finanziert, Stunden vor dem Datenabzug. Eine gezielte, präzise geplante Operation.
Wie der Angriff ablief
Alles begann mit einem technischen Detail, dessen Konsequenzen jedoch gewaltig sind. Der Angreifer manipulierte die Cross-Chain-Messaging-Schicht von LayerZero — das System, das Anweisungen zwischen Blockchains verifiziert — und brachte die Bridge von Kelp DAO dazu, eine legitime Anweisung aus einem anderen Netzwerk zu empfangen.
Um 17:35 UTC am 18. April rief das Wallet des Angreifers die Funktion lzReceive im EndpointV2-Vertrag von LayerZero auf. Dieser Aufruf veranlasste das Kelp-System, 116.500 rsETH direkt an eine vom Angreifer kontrollierte Adresse freizugeben. Der gesamte Betrag entspricht etwa 18 % des umlaufenden Angebots von rsETH (insgesamt 630.000 Token, laut CoinGecko).
Das Sicherheitsteam von Kelp reagierte 46 Minuten später und führte über das Protokoll-Multisig ein Notfall-pauseAll durch. Zwei weitere Angriffsversuche — um 18:26 und 18:28 UTC — wurden durch den pausierten Vertrag blockiert und verhinderten so einen weiteren Abfluss von rund 100 Millionen Dollar.
Ohne diese schnelle Reaktion hätten die Gesamtverluste fast 391 Millionen Dollar erreicht.
Die zweite Phase: Ansteckung bei Aave
Der Diebstahl war nur das erste Problem. Die zweite Phase spielte sich auf Aave V3 ab: Der Angreifer hinterlegte die gestohlenen rsETH — ohne reales Backing — als Sicherheit und lieh sich große Mengen WETH. Das Ergebnis: rund 177–236 Millionen Dollar Bad Debt, die im größten Lending-Protokoll der Branche zurückblieben.
Dies verdeutlicht auf drastische Weise das Risiko der DeFi-Komposabilität: Token eines Protokolls werden sofort als Sicherheit auf anderen akzeptiert. Verliert ein Token seine reale Deckung, ist die Ansteckung unmittelbar — ohne Governance-Abstimmung, ohne Ausschüsse, ohne Wartezeit.
Von der Kettenreaktion betroffene Protokolle:
- Aave V3 und V4 — rsETH-Märkte eingefroren; Stani Kulechov (@StaniKulechov) bestätigte, dass die Aave-Verträge selbst nicht kompromittiert wurden und das Problem ausschließlich rsETH betrifft
- SparkLend — rsETH-Märkte ausgesetzt, keine direkte Exposition
- Fluid — gleiche Maßnahmen wie Spark
- Lido Finance — Einzahlungen auf earnETH mit rsETH-Exposition ausgesetzt; stETH und wstETH nicht betroffen
- Ethena — vorsorglich LayerZero-Bridges von Ethereum Mainnet pausiert, trotz keiner rsETH-Exposition und Kollateralisierung über 101 %
- Upshift — Ein- und Auszahlungen für die Vaults High Growth ETH und Kelp Gain ausgesetzt
Die Auswirkungen auf die Preise
Die Marktreaktion war unmittelbar und heftig:
- AAVE verlor in wenigen Stunden rund 10%
- ETH fiel um etwa 3%
- stETH und wstETH verzeichneten Rückgänge von nahezu 4%
- rsETH verlor seinen Peg und fiel auf rund 2.500 $, was erhebliche Unsicherheit über die Stabilität des Protokolls auslöste
Earlier today we identified suspicious cross-chain activity involving rsETH. We have paused rsETH contracts across mainnet and several L2s while we investigate.
— Kelp (@KelpDAO) April 18, 2026
We are working with @LayerZero_Core, @unichain, our auditors and top security experts on RCA.
We will keep you…
Was ist Kelp DAO und warum ist es so bedeutsam?
Kelp DAO ist ein Liquid-Restaking-Protokoll auf Ethereum. Nutzer hinterlegen ETH oder Liquid-Staking-Token (wie stETH oder cbETH) und erhalten im Gegenzug rsETH — einen Token, der Erträge aus mehreren Staking-Ebenen über EigenLayer akkumuliert. Mit einem TVL von rund 1,07 Milliarden Dollar ist Kelp der zweitgrößte Akteur im EigenLayer-Ökosystem.
rsETH ist auf über 20 Blockchains verteilt: Arbitrum, Base, Linea, Blast, Mantle, Scroll und weitere — über den OFT-Standard von LayerZero. Die geleerte Bridge stellte die zentrale Reserve dar, die die Wrapped-Token auf all diesen L2s absicherte. Da diese Reserve nun auf null gesetzt wurde, befinden sich rsETH-Inhaber auf Sekundär-Chains in einer unsicheren Lage: Ihr Token könnte keinerlei Unterlegung mehr besitzen.
Einen tieferen Einblick in die Integration von Cardano und LayerZero sowie in die Funktionsweise von Cross-Chain-Messaging bietet folgender Artikel: Cardano integriert LayerZero und setzt auf DeFi
Ein schwarzer April für die DeFi
Dieser Exploit steht nicht allein. Am 1. April 2026 hatte das Drift-Protokoll auf Solana einen Angriff in Höhe von 285 Millionen Dollar erlitten, der später mit nordkoreanischen Akteuren in Verbindung gebracht wurde. In den darauffolgenden Wochen wurden mindestens ein Dutzend kleinerer Protokolle getroffen: CoW Swap, Zerion, Rhea Finance, Silo Finance.
Die Chronologie der Angriffe allein im Jahr 2026 liest sich wie eine Kriegsliste:
- 1. April — Drift Protocol (Solana): ~285 Mio. $
- Mitte April — CoW Swap, Zerion, Rhea Finance, Silo Finance
- 18. April — Kelp DAO: 292 Mio. $ ← Rekord 2026
Die gesamten DeFi-Exploits in nur drei Wochen übersteigen mittlerweile die Milliarde Dollar.
Besuche den Bereich zu Hacks in der Krypto-Welt auf SpazioCrypto, um über alle aktuellen Fälle informiert zu bleiben.
Was Jetzt Passiert
Kelp DAO hat erklärt, in Kontakt mit LayerZero, Unichain, den eigenen Auditoren und führenden Sicherheitsexperten zu stehen, um eine Ursachenanalyse (RCA) durchzuführen. Mitgründer Amitej Gajjala hat bislang keine detaillierten Stellungnahmen über die offizielle Mitteilung hinaus veröffentlicht.
Viele Fragen bleiben offen:
- Ist es möglich, einen Teil der Mittel zurückzugewinnen?
- Wird Aave die Bad Debt absorbieren können, ohne die Einleger zu belasten?
- Wird rsETH auf L2 sein Peg zurückgewinnen, oder müssen die Inhaber mit dauerhaften Verlusten rechnen?
Auf struktureller Ebene entfacht dieser Fall die Debatte über die Sicherheit von Liquid-Restaking-Token als Sicherheiten in Lending-Protokollen neu. Die Tatsache, dass rsETH auf Aave, Compound und Euler gewhitelistet war, setzte voraus, dass der Token vollständig besichert bleibt. Diese Annahme wurde auf eklatante Weise gebrochen — jedes Lending-Protokoll muss nun die Risikoparameter für Restaked Assets neu bewerten.
Um zu verstehen, wie man sich in diesem Ökosystem schützen kann, ist unser Web3-Leitfaden der beste Ausgangspunkt.
DeFi ist mächtig, gerade weil sie komponierbar ist. Doch Komponierbarkeit verwandelt, sobald ein einzelnes Element nachgibt, jedes verbundene Protokoll in einen Dominostein. Der Fall Kelp DAO hat dies auf die teuerste mögliche Weise bewiesen.
