coin-img-ETHETH-4.33%coin-img-BTCBTC-2.86%coin-img-SOLSOL-4.45%coin-img-XRPXRP-3.66%coin-img-TOMTOM+86.46%coin-img-BENZBENZ+468.78%coin-img-USDCUSDC-0.01%coin-img-RAVERAVE-90.41%coin-img-ETHETH-4.33%coin-img-BTCBTC-2.86%coin-img-SOLSOL-4.45%coin-img-XRPXRP-3.66%coin-img-TOMTOM+86.46%coin-img-BENZBENZ+468.78%coin-img-USDCUSDC-0.01%coin-img-RAVERAVE-90.41%coin-img-ETHETH-4.33%coin-img-BTCBTC-2.86%coin-img-SOLSOL-4.45%coin-img-XRPXRP-3.66%coin-img-TOMTOM+86.46%coin-img-BENZBENZ+468.78%coin-img-USDCUSDC-0.01%coin-img-RAVERAVE-90.41%coin-img-ETHETH-4.33%coin-img-BTCBTC-2.86%coin-img-SOLSOL-4.45%coin-img-XRPXRP-3.66%coin-img-TOMTOM+86.46%coin-img-BENZBENZ+468.78%coin-img-USDCUSDC-0.01%coin-img-RAVERAVE-90.41%

Schwerer DeFi-Angriff: Kelp DAO verliert 292 Mio. US-Dollar, rsETH-Märkte auf Aave eingefroren

Das Liquid-Restaking-Protokoll @KelpDAO ist heute Opfer eines Exploits geworden: Angreifer entwendeten 116.500 rsETH im Gegenwert von rund 292 Mio. US-Dollar. Die erbeuteten Token wurden unmittelbar über @aave, Compound V3 und Euler geschleust, um mehr als 236 Mio. US-Dollar in $wETH zu leihen. Nach bisherigen Erkenntnissen startete der Angriff um 17:35 UTC. Der Angreifer rief die Funktion lzReceive von LayerZero auf dem EndpointV2-Contract auf und übermittelte ein gefälschtes Cross-Chain-Paket. Dadurch wurde Kelps Bridge dazu verleitet, rsETH an Wallets freizugeben, die zuvor über Tornado Cash mit Gas-Guthaben ausgestattet worden waren. @zachxbt machte den Vorfall kurz vor 15:00 Uhr ET öffentlich. Der Notfall-Stopp über Kelps Emergency-Multisig erfolgte um 18:21 UTC, rund 46 Minuten nach dem initialen Abfluss. Zwei weitere Versuche um 18:26 und 18:28 UTC schlugen fehl; in beiden Fällen sollte jeweils zusätzlich rsETH im Umfang von 40.000 Token (rund 100 Mio. US-Dollar) abgezogen werden. Die bislang abgezogene Menge entspricht etwa 18% des umlaufenden rsETH-Angebots von rund 630.000 Token. Da rsETH auf mehr als 20 Netzwerken im Einsatz ist, rückt die Deckung der verpackten Versionen auf L2s in den Fokus. Als Reaktion haben @aave, SparkLend, Fluid und @upshift_fi ihre rsETH-Märkte eingefroren. Aave-Gründer Stani Kulechov erklärte, die Aave-Contracts seien nicht kompromittiert worden; rsETH habe zudem "keine Borrowing Power". Gleichzeitig steht Aaves Umbrella-Backstop, der Ende 2025 das frühere Safety Module ablöste, in seinem ersten großen Real-World-Stresstest. @LidoFinance stoppte Einzahlungen in earnETH. @ethena_labs pausierte vorsorglich seine LayerZero-OFT-Bridges für etwa sechs Stunden, obwohl keine rsETH-Exponierung vorliegt. Der Kurs von $AAVE gab nach Bekanntwerden der Nachricht um rund 10% nach. Mit einem Schaden von 292 Mio. US-Dollar übertrifft der Vorfall den Hack bei @DriftProtocol vom 1. April (285 Mio. US-Dollar, mit Nordkorea in Verbindung gebracht) und gilt damit als bislang größter DeFi-Exploit des Jahres 2026.
Ausgewählt
AAVE
AAVE-20.07%
COMP
COMP-5.25%
Haftungsausschluss: Die obigen Inhalte geben lediglich die Meinung des Autors wieder und spiegeln nicht die Haltung von BingX wider. Sie stellen keine Anlageberatung durch BingX dar. Details finden Sie in den Geschäftsbedingungen.