$71 miljoen bevroren, $175 miljoen al verdwenen: Hoe de Kelp DAO-hacker $292 miljoen aan gestolen Ether witwast

Arbitrum handelde snel. Maandagavond bevroor de Arbitrum Veiligheidsraad meer dan 30.766 ETH (ongeveer $71 miljoen) die zich in een wallet op Arbitrum One bevonden en direct gekoppeld waren aan de exploitatie van KelpDAO. De raad verklaarde dat zij handelden met input van wetshandhaving betreffende wat zij meenden dat de identiteit van de exploiteur was, en dat deze actie geen invloed had op andere Arbitrum-gebruikers of -applicaties. DeFi-omgevingen voeren zelden dit niveau van on-chain interventie in real-time uit, dus dit was een werkelijk daadkrachtige actie voor Arbitrum.

De hacker handelde nog sneller. Voordat de inkt van Arbitrums aankondiging droog was, volgde blockchain-inlichtingenbedrijf Arkham hoe de verdachte 75.701 ETH (ongeveer $175 miljoen) vanuit Ethereum-adressen verplaatste naar nieuw aangemaakte wallets. Twee overboekingen werden gedaan, één voor $117 miljoen en de andere voor $58 miljoen, tijdens Europese handelsuren op dinsdag. On-chain onderzoeker ZachXBT bevestigde aan mij dat de illegaal verkregen fondsen zijn begonnen te worden verplaatst over verschillende chains. De witwasfase is begonnen.

Hoewel Arbitrum ongeveer 25% van het totaal gestolen bedrag bevroor, is de resterende 75% nog steeds actief in beweging.

Hoe de Aanval Zich Ontvouwde

Voor het geval iemand het gemist heeft: op zaterdag 18 april gebruikte een aanvaller Kelp DAO's op LayerZero gebaseerde cross-chain bridge exploit om een defect uit te buiten, waardoor zij 116.500 rsETH (toen ter waarde van ongeveer $291 miljoen) konden opnemen – ongeveer 18% van de totale hoeveelheid rsETH die op dat moment in omloop was. Door vervalste instructies aan de bridge te geven, zorgde de aanvaller ervoor dat de rsETH vrijgegeven werd aan een adres dat zij controleerden. De aanvaller deponeerde vervolgens de gestolen tokens in Aave, Compound en Euler om als onderpand te gebruiken voor het lenen van honderden miljoenen extra wrapped ether.

De bridge van Kelp had reserves die de rsETH in meer dan 20 netwerken ondersteunden, dus dit incident veroorzaakte onmiddellijke rimpelende effecten. Tot op heden zijn minstens negen protocollen gedwongen hun markten te bevriezen of andere noodmaatregelen te nemen. Alleen al Aave zag $6,6 miljard aan TVL hun platform binnen enkele uren verlaten en de waarde van hun token daalde met 16%. Nu Aave zijn incidentrapport heeft uitgebracht, schat het hun blootstelling aan dubieuze debiteuren op tussen $123M en $230M, afhankelijk van hoe Kelp DAO zijn tekort verdeelt over zijn Layer 2-posities.

Aldus heeft deze DeFi-hack nu de Drift-hack van twee weken geleden overtroffen, waarmee het de grootste DeFi-hack van 2026 tot nu toe is.

Het Blame Game tussen Kelp en LayerZero

Kelp DAO en LayerZero zijn verwikkeld in een openbaar geschil over wie verantwoordelijk is voor de configuratiefout die tot de aanval leidde, terwijl onderzoekers blijven onderzoeken hoe het geld verloren is gegaan. Eén oorzaak was een enkele eigenaar die fungeert als enige verificator van de geldigheid van elk bericht dat over verschillende chains wordt verzonden. Als de ene eigenaar gecompromitteerd raakt, is de hele bridge gecompromitteerd.

LayerZero benadrukt dat zij Kelp DAO de infrastructuur hebben gegeven om mee te bouwen. Kelp DAO benadrukt dat hun gebruik van een enkele eigenaar gebaseerd was op LayerZero's standaardconfiguratie voor de SV, wat betekent dat het geen keuze was die door Kelp DAO werd gemaakt. De uitkomst van wie aansprakelijk is, is belangrijk voor eventuele toekomstige juridische stappen, maar zal geen invloed hebben op de financiële verliezen die zijn geleden door degenen die geld hebben verloren.

Wat beide partijen nu, feitelijk, toegeven is dat er een configuratie was die catastrofaal ongeschikt was om indringing te weerstaan en die in productie draaide op een bridge met honderden miljoenen dollars aan cross-chain waarde (dit is wat beide partijen met elkaar verbindt). Iemand had dit probleem moeten opmerken, maar niemand deed dat.

De Schaduw van Noord-Korea

Beveiligingsonderzoekers en meerdere publicaties hebben vastgesteld dat het exploitatiepatroon van Kelp, de omvang ervan en de snelheid van het witwassen van fondsen sterk overeenkomen met de modus operandi die gekoppeld is aan de Lazarus Groep van Noord-Korea. Samen genereerden de Drift- en Kelp-exploits meer dan $500 miljoen aan leeggeroofde activa in iets meer dan 2 weken. Analisten geloven dat deze financiële aftap een weerspiegeling is van een gesanctioneerd land dat fondsen nodig heeft, in plaats van opportunistische hackers die in dat tempo opereerden.

De Lazarus Groep is in verband gebracht met enkele van de grootste cryptocurrency-diefstallen uit de geschiedenis, waaronder de $625 miljoen kostende Ronin Network-hack die in 2022 plaatsvond. De groep staat bekend om het gebruik van gecompromitteerde verificatie-opstellingen om cross-chain infrastructuur uit te buiten, evenals het snel en efficiënt verplaatsen van hun gestolen fondsen via diverse privacytools en chain hops om het vermogen van onderzoekers om hun gestolen activa te traceren te belemmeren. De Kelp-exploit komt overeen met deze modus operandi. Hoewel de toeschrijving aan de Lazarus Groep nog niet is bevestigd, is het duidelijk dat wetshandhaving voldoende informatie heeft doorgespeeld aan de Arbitrum Veiligheidsraad betreffende de identiteit van de Kelp-exploiteur om de bovengenoemde bevriezing toe te staan – wat impliceert dat onderzoekers verder zijn gevorderd dan openbare verklaringen weergeven.

Wat Volgt

Niemand zal toegang kunnen krijgen tot de $70 miljoen aan bevroren Arbitrum-fondsen zonder goedkeuring van Aave's Governance. Dit vertegenwoordigt een aanzienlijk bedrag aan geld dat is teruggevonden en het is bijzonder indrukwekkend hoe snel de dingen over de hele linie zijn gebeurd. Echter, $175M is verplaatst naar nieuwe wallets, wat het herstel veel moeilijker maakt dan wanneer het slechts op één blockchain zou plaatsvinden. De FBI en IRS-CI werken waarschijnlijk samen aan het onderzoek, gezien de grote totale waarde van de gestolen fondsen, maar het omzetten van dit onderzoek in daadwerkelijke activa zal maanden of jaren duren, en niet slechts dagen.

Wat betreft het terugvorderen van dubieuze debiteuren/leningen voor Aave, zal hun eerste vraag zijn hoe met dit verlies om te gaan. Het is mogelijk dat een deel ervan kan worden gedekt door gebruik te maken van de Umbrella Veiligheidsreserve, maar zo niet, dan zullen eventuele aanvullende verliezen moeten komen van stkAAVE-houders, via het vangnetmechanisme van het protocol. Dit zou een aanzienlijke druk leggen op Aave Governance om voor het eerst actie te ondernemen om stkAAVE-houders op een ongekende manier te beschermen tegen verlies.

Op dit moment zijn er slechts ongeveer 72 uur verstreken sinds de Kelp-exploit plaatsvond. Het onderzoek loopt nog; het witwassen van gestolen fondsen is gaande; en de totale omvang van het verlies door de exploit is nog niet vastgesteld. Het is duidelijk dat de dader van de Kelp-exploit een uitgebreid plan had voorbereid voordat hij de hack uitvoerde om te profiteren van deze omstandigheden.