Wallets, die mit dem Kelp DAO Exploit von ungefähr 292 Millionen Dollar in Verbindung stehen, haben offenbar einen Versuch begonnen, die gestohlenen Gelder zu waschen, nachdem das Ethereum Layer 2 Netzwerk Arbitrum einen Teil der Vermögenswerte eingefroren hat.
Etwa 1,5 Millionen Dollar wurden vom Ethereum Mainnet über THORChain zu Bitcoin verschoben, und weitere etwa 78.000 Dollar wurden laut dem Blockchain-Ermittler ZachXBT über das Privacy-Protokoll Umbra geleitet.
Bemerkenswerterweise deuteten andere Onchain-Analysten an, dass die Geldwäscheaktivitäten bereits viel umfangreicher sein könnten.
Das Blockchain-Sicherheitsunternehmen PeckShield erklärte, der Angreifer habe begonnen, etwa 176 Millionen Dollar an gestohlenen Geldern über THORChain, Umbra, Chainflip und BitTorrent zu verschieben. Onchain-Analysten von Ember CN hoben hervor, dass der Angreifer nach dem Einfrieren durch Arbitrum etwa 75.700 ETH, oder ungefähr 175 Millionen Dollar, von Ethereum abgezogen hatte, einschließlich kleinerer Überweisungen, die über Umbra geleitet wurden.
Diese Schätzungen wurden weder von Kelp DAO noch von LayerZero unabhängig bestätigt.
Das Update markiert eine neue Phase in einem der größten DeFi-Exploits des Jahres.
Nach Notfall-Einfrierungen und Schuldzuweisungen bezüglich des Brücken-Designs ist nun eine weitere Frage wichtig, nämlich wie viel der gestohlenen Krypto noch verfolgt, eingefroren oder wiederhergestellt werden kann.
Überweisungen an Protokolle wie THORChain und Umbra erfolgen kurz nachdem der Sicherheitsrat von Arbitrum ETH im Wert von etwa 71 Millionen Dollar eingefroren hat, die mit dem Angriff in Verbindung stehen, was einen der wenigen konkreten Erfolge bei der Eindämmung im weiteren Kelp DAO Nachbeben darstellt.
Der Exploit selbst wurde erstmals am Wochenende bekannt gegeben, als die rsETH-Brücke von Kelp DAO für rund 292 Millionen Dollar getroffen wurde, was schnell zur Schlagzeile des DeFi-Einbruchs im April wurde.
Ari Redbord, globaler Leiter der Politik bei TRM Labs, sagte in einem öffentlichen Beitrag, dass der Angreifer etwa 116.500 rsETH, oder ungefähr 18% des zirkulierenden Angebots, abgezogen hat, nachdem er den lzReceive-Flow von LayerZero mit einer offenbar gefälschten Nachricht aufgerufen hatte.
Von dort aus weitete sich der Vorfall schnell aus.
LayerZero sagte später, dass Nordkoreas Lazarus Group der wahrscheinliche Übeltäter sei und argumentierte, dass der Exploit durch ein Single-Point-Setup im Verifizierungspfad ermöglicht wurde, während Kelp DAO die Schuld auf die Messaging-Architektur von LayerZero zurückwies.
Die finanziellen Auswirkungen waren genauso wichtig wie der Streit um die Verantwortlichkeit.
In den Tagen nach dem Angriff litten DeFi-Protokolle unter dem Folgerisiko im Zusammenhang mit rsETH, wobei Bedenken hinsichtlich der Sicherheitenqualität, des Peg-Drucks und möglicher Bad-Debt-Szenarien in den Kreditmärkten aufkamen. Redbord erklärte, dass Aave, SparkLend, Fluid und Upshift alle Maßnahmen ergriffen haben, um rsETH-bezogene Engagements zu pausieren oder neu zu bewerten, da die Nutzer bestrebt waren, Risiken zu reduzieren.
Das anhaltende Problem macht die jüngsten Geldwäscheaktivitäten mehr als eine routinemäßige Verschiebung nach einem Hack.
Sobald Gelder den ursprünglichen Onchain-Tatort verlassen und Ketten übergreifend in Bitcoin-Schienen oder datenschutzfreundliche Tools übergehen, wird die Wiederherstellung tendenziell wesentlich schwieriger.
Updates von ZachXBT und anderen deuten darauf hin, dass der Prozess nun im Gange ist.
Dennoch ist es wichtig zu beachten, dass die neu identifizierten Beträge bei Überweisungen über Umbra und andere Kanäle im Vergleich zur gesamten Beute immer noch gering sind. Aber sie sind wichtig, weil sie zeigen, dass die Angreifer bereits Ausstiegswege testen und nicht nur auf den Erlösen sitzen.
Dies lenkt wohl erneut die Aufmerksamkeit auf das frühere Reaktionsfenster. Das Einfrieren durch Arbitrum zeigte, dass ein Teil des gestohlenen ETH noch immobilisiert werden konnte. Die neuen Überweisungen über THORChain und Umbra zeigen, dass andere Teile bereits in schwierigeres Terrain abrutschen.
Haftungsausschluss: The Block ist ein unabhängiges Medienunternehmen, das Nachrichten, Recherchen und Daten liefert. Seit November 2023 ist Foresight Ventures ein Mehrheitsinvestor von The Block. Foresight Ventures investiert in andere Unternehmen im Krypto-Bereich. Die Krypto-Börse Bitget ist ein Anker-LP für Foresight Ventures. The Block arbeitet weiterhin unabhängig, um objektive, wirkungsvolle und zeitnahe Informationen über die Krypto-Branche zu liefern. Hier sind unsere aktuellen finanziellen Offenlegungen.
© 2026 The Block. Alle Rechte vorbehalten. Dieser Artikel dient ausschließlich zu Informationszwecken. Er ist weder als Rechts-, Steuer-, Anlage-, Finanz- oder sonstige Beratung gedacht noch als solche bestimmt.
