Der Angreifer hinter dem Kelp DAO Exploit im Wert von rund 290 Millionen US-Dollar begann am Dienstag, Zehntausende von Ether an neu erstellte Blockchain-Adressen zu verschieben, was offenbar ein Versuch ist, die gestohlenen Gelder zu waschen.
Die von Arkham als mit dem Kelp DAO Exploit verbunden markierte Wallet verschob am Dienstag etwa 75.700 Ether (ETH) im Wert von rund 175 Millionen US-Dollar in drei Transaktionen, darunter eine Überweisung von 25.000 ETH an eine neu erstellte Adresse und Überweisungen von 50.700 ETH und 0,7 ETH an eine andere.
Der Blockchain-Ermittler ZachXBT schrieb am Dienstag in einem Telegram-Post, dass Adressen, die mit dem Exploit in Verbindung stehen, begonnen hätten, Gelder über THORChain und Umbra zu bewegen. Er wies auf drei THORChain-Transaktionen im Gesamtwert von etwa 1,5 Millionen US-Dollar und eine separate Überweisung von 78.000 US-Dollar über Umbra hin.
Am Samstag entwendete ein Angreifer etwa 116.500 restaked Ether (rsETH) im Wert von etwa 290 Millionen bis 293 Millionen US-Dollar von Kelp DAOs LayerZero-gestützter rsETH-Brücke.
LayerZero erklärte, dass Kelp DAOs 1/1 dezentrales Verifizierungsnetzwerk (DVN) eine einzige Fehlerquelle darstellte, da es sich auf einen einzigen Verifiziererpfad für Cross-Chain-Nachrichten verließ. LayerZero hatte zuvor von dieser Konfiguration abgeraten.
Die Überweisungen erfolgten Stunden, nachdem Arbitrum bekannt gab, dass sein 12-köpfiger Sicherheitsrat Notmaßnahmen ergriffen hatte, um 30.766 ETH, die mit dem Exploit verbunden sind, einzufrieren und die Gelder in eine „eingefrorene Zwischen-Wallet“ zu verschieben, die nur über die Arbitrum-Governance zugänglich ist.
Der Exploit traf auch andere DeFi-Protokolle, darunter Aave, wo der Angreifer die gestohlenen Gelder als Sicherheit nutzte, um Kredite gegen das Protokoll aufzunehmen. Frühe Schätzungen bezifferten das Loch auf etwa 195 Millionen US-Dollar, doch Aaves Zwischenfallbericht vom Montag skizzierte später zwei mögliche Ergebnisse: etwa 123,7 Millionen US-Dollar an uneinbringlichen Forderungen in einem Szenario und etwa 230,1 Millionen US-Dollar in einem anderen.
Die Überweisungen deuten darauf hin, dass die Angreifer begonnen hatten, Gelder über nicht-verwahrte Protokolle zu bewegen, was die Nachverfolgung und Wiederherstellung erschweren kann. THORChain erfordert keine traditionellen Know-Your-Customer-Prüfungen.
Während des Bybit-Hacks im Wert von 1,4 Milliarden US-Dollar im Jahr 2025 wandelten Angreifer laut Bybit-CEO Ben Zhou etwa 83 % des gestohlenen Ethers in Bitcoin (BTC) um, wobei 72 % der Gelder über THORChain bewegt wurden. Zhou sagte damals, dass 77 % der gestohlenen Gelder noch nachvollziehbar seien.
Verwandt: ZachXBT fordert MemeCore auf, Bewertung und Token-Angebot zu erläutern
Am Dienstag gab Aave bekannt, dass es die Wrapped Ether (WETH)-Reserven auf dem Ethereum Core V3 Markt freigegeben hat, wodurch Benutzer wieder WETH an das V3-Kreditprotokoll liefern können. Die WETH-Reserven auf Ethereum Prime, Arbitrum, Base, Mantle und Linea bleiben jedoch eingefroren.
In der Zwischenzeit stiegen die Leihzinsen von Aave für USDt (USDT) aufgrund der geringer werdenden Liquidität von 3 % auf 14 %, die höchsten Werte seit Dezember 2024, schrieb Julio Moreno, der Forschungsleiter der Analyseplattform CryptoQuant, in einem X-Post am Montag.
Befürchtungen einer möglichen Ansteckung führten zu erheblichen Abflüssen aus Aave, da der Total Value Locked (TVL) seit dem Exploit bis Dienstag um etwa 10 Milliarden US-Dollar auf 16,4 Milliarden US-Dollar fiel, wie Daten von DefiLlama zeigen.
Magazin: 53 DeFi-Projekte infiltriert, 50M NEO-Token könnten ‚zurückgegeben werden‘: Asia Express
