VeiligheidCryptovalutaDeFi, NFT, and Web3

Kelp DAO-hack: aanvaller leeg bijna alle $293M ETH, alleen bevroren fondsen blijven over

Natalia IvanovNatalia Ivanov2026-05-06
Kelp DAO-hack: aanvaller leeg bijna alle $293M ETH, alleen bevroren fondsen blijven over

Na de $293 miljoen Kelp DAO-hack waste de aanvaller snel ETH via THORChain en mixers, waardoor alleen bevroren Arbitrum-fondsen nog terug te halen zijn naarmate de traceermogelijkheden verdwijnen.

De aanvaller die verantwoordelijk is voor de Kelp DAO-hack van ongeveer $293 miljoen, heeft vermoedelijk een snelle witwasoperatie uitgevoerd, waarbij bijna alle "weggesmolten" ETH dagen na de plundering uit statistische handelsactiviteiten is verplaatst. Dit heeft de potentiële herstelmogelijkheden aanzienlijk beperkt tot alleen de resterende bevroren fondsen in het beveiligingsbestuur van Arbitrum.

Snelle verplaatsing van gestolen fondsen

Blockchain-tracking gaf aan dat de aanvaller de gestolen fondsen op dinsdag begon te verspreiden, slechts enkele dagen na de exploitatie (op zaterdag, toen ongeveer 116.500 gerestakede Ether (rsETH) werd weggesluisd uit het LayerZero-gebaseerde bridgeprotocol van Kelp DAO). De gestolen stortingen waren op dat moment ongeveer $290 miljoen tot $293 miljoen waard.


De aanvaller begon met het verzamelen van ongeveer 75.700 ETH in nieuwe wallets tegen een marktwaarde van ruwweg $175 miljoen. Deze stap, die gebruikelijk is aan het begin van dergelijke exploits, dient om de exploit-transactie los te koppelen van het witwasproces.

Het geld werd vervolgens via verschillende "cornered cash states" verplaatst met behulp van een reeks gedecentraliseerde privacy- en liquiditeitstools, in een poging het transactiespoor en het eigendomsspoor te maskeren.

Gebruik van THORChain en Privacytools

Een groot deel van het witwassen is vermoedelijk via THORChain gegaan, een cross-chain liquiditeitsnetwerk dat swaps tussen verschillende blockchains faciliteert zonder centrale tegenpartijen te vereisen. Op basis van blockchain-analyse werd aangenomen dat de aanvaller een groot deel van de Ether had omgewisseld voor Bitcoin (BTC) op het platform.


Deze zelfvervullende activiteit, die miljarden dollars (211% ROI) aan transactiekosten voor het protocol (IOU, USDT en USDC) genereerde, toonde aan hoe permissieloze infrastructuur van fungibele gedecentraliseerde liquiditeit kan worden ingezet voor illegale hoge volumes. Een schatting van de transactiekosten (ongeveer $910.000) onderstreept de impact ervan.


Zelfs na THORChain werden een deel van de fondsen via een ander mixingprotocol genaamd Umbra gestuurd, dat is gebouwd met behulp van vertrouwelijke technologie. Deze extra laag van obfuscatie maakte het moeilijker voor onderzoekers en analysebedrijven om de fondsen te traceren.


Vanaf donderdag onthulden de blockchain-intelligentiefeeds van Arkham dat de meeste fondsen in de oorspronkelijk getagde wallet van de aanvaller waren leeggehaald, wat erop wijst dat de "witwassaga" bijna voltooid was.

Tekenen van een gestructureerde exitstrategie

On-chain intelligentieplatforms zoals Arkham vonden de bewegingspatronen kenmerkend voor een overdracht, in plaats van een langetermijnbezit.

In plaats van het gestolen geld in identificeerbare wallets te bewaren, wat een gezamenlijke herstelinspanning tegen de aanvaller zou kunnen veroorzaken, werd het geld geconsolideerd, omgezet in verschillende activa, en doorgesluisd via tal van tussenliggende holdingaccounts, dit alles binnen een zeer korte periode.


Verwijzend naar het snelle tempo en het ontwerp van de transacties, merkten de analisten op dat de transacties lijken te zijn uitgevoerd met het motief van "cashing out" (uitbetalen) in plaats van om de markt te manipuleren of losgeld te onderhandelen.

Beperkt herstelvenster: Bevroren fondsen van Arbitrum

Niet alle gestolen activa zijn omgezet en zijn nog steeds bevroren. De Arbitrum-veiligheidsraad heeft ongeveer 30.766 ETH van de Binance-opname bevroren na de herintreding.


Deze activa werden verplaatst naar een tussenliggende wallet die onder controle staat van het bestuur en op dit moment niet mag worden verplaatst (zonder goedkeuring van het protocolniveau-bestuur).


Deze bevroren tranche is nu het grootste terugwinbare deel van de exploit, aangezien de resterende gestolen ETH reeds door zijn eigen reeks mixers en cross-chain swaps is gegaan, waardoor de herkomst verder is verduisterd.

Hoe de Exploit ontstond

De aanval was gericht tegen Kelp DAO, een restakingprotocol dat gebruikmaakt van liquid staking derivatives. Door kwetsbaarheden in het LayerZero-interoperabele rsETH bridge-systeem kon de aanvaller aanzienlijke hoeveelheden gerestakede Ether opnemen.


Het gestolen activum, rsETH, is een abstractie van gestakede ETH-posities die opnieuw worden ingezet in gedecentraliseerde financieringsstructuren om verdere opbrengst te genereren. Hoewel efficiënt, kan deze composability leiden tot grotere systemische risico's als de bridge-infrastructuur wordt gecompromitteerd.

Bredere implicaties voor DeFi-beveiliging

Dergelijke exploits benadrukken verder het bestaande gevaar voor cross-chain DeFi-infrastructuur, waar het gebruik van bridgeprotocollen en restaking elkaar kruisen. Het snelle witwassen van fondsen via DeFi-protocollen toont zowel de kracht van DeFi als de achillespees: permissieloze financiën.


Aan de ene kant blijven de open-source en "perma-bridging" liquiditeitsmodellen van DeFi onaangetast door bepaalde aanvalsscenario's, zoals bestaande exploits op huidige stablecoin-bridges. Omgekeerd is deze openheid ook bevorderlijk voor uitbuiting als kritieke toegangspunten langs illegale stroomkanalen.


Tegelijkertijd onthult de gedeeltelijke bevriezing van het Arbitrum-rechtssysteem hoe de noodbevoegdheden verschuiven naar gedecentraliseerde veiligheidsraden. Maar dergelijke maatregelen worden steeds meer beperkt in hun effectiviteit door de snelheid waarmee aanvallers fondsen naar meerdere chains en privacylagen kunnen verplaatsen.

Vooruitzicht

Aangezien een groot deel van de gestolen waarde nu via cross-chain swaps en privacymixers over meerdere chains is verspreid, zal het onderzoek zich waarschijnlijk toespitsen op de bevroren fondsen onder Arbitrum-bestuur.


Voor de onderzoekers benadrukt de zaak een bekend probleem in gedecentraliseerde financiën: zodra een grote hoeveelheid gestolen fondsen snel is gebridged, geswapt en geanonimiseerd, is de mogelijkheid om de illegale winsten terug te vorderen beperkt tot uren of dagen, in plaats van weken.


Alle geuite meningen zijn de persoonlijke opvattingen van de auteur en vormen geen beleggingsadvies.

Laatste artikelen

Kast neemt voormalig SEC-functionaris Stephanie Allen aan om beleidscommunicatie te leiden
to****@gmail.com|2026-05-07
Kast neemt voormalig SEC-functionaris Stephanie Allen aan om beleidscommunicatie te leiden
Een Snelle Beginnershandleiding voor Futures Trading op LBank
abeebstacks|2026-05-07
Een Snelle Beginnershandleiding voor Futures Trading op LBank
De Waarheid Over Crypto en Uw Belastinggeld — Wat Scott Bessent Net aan het Congres Vertelde Zal Bitcoin Schokken
ob****@gmail.com|2026-05-07
De Waarheid Over Crypto en Uw Belastinggeld — Wat Scott Bessent Net aan het Congres Vertelde Zal Bitcoin Schokken
Nexo Verhoogt Liquiditeit Met Rentevrije Kredietlijnen voor Solana en XRP
to****@gmail.com|2026-05-07
Nexo Verhoogt Liquiditeit Met Rentevrije Kredietlijnen voor Solana en XRP
RISCOIN's wervingscampagne in de Filipijnen: een groeiende zorg die toezichthouders nu serieus nemen
ra****@gmail.com|2026-05-07
RISCOIN's wervingscampagne in de Filipijnen: een groeiende zorg die toezichthouders nu serieus nemen
Hoe de samenwerking tussen Shinhan Card en Solana stabielecoinbetalingen naar miljoenen in Zuid-Korea kan brengen
to****@gmail.com|2026-05-07
Hoe de samenwerking tussen Shinhan Card en Solana stabielecoinbetalingen naar miljoenen in Zuid-Korea kan brengen

Angst- en hebzuchtindex

Handel
37
Angst
Wat is volgens u het huidige marktsentiment?
+80.00%+20.00%
Contante handelFutures
Geen data