Dr. Stephanie Morgenroth
Ein massiver DeFi-Diebstahl erschütterte den Markt am 18. April 2026. Angreifer entwendeten über 280 Millionen USD aus einer Wallet von KelpDAO auf den Netzwerken Ethereum und Arbitrum. Der Vorfall zählt zu den größten Einzelverlusten in der Geschichte der Kryptowährungen.
Mechanik des massiven Wallet-Drains
Die Angreifer finanzierten ihre Wallets Stunden vor dem Diebstahl über den Privacy-Mixer Tornado Cash. Diese Methode dient dazu, die Herkunft der Gelder zu verschleiern. Die Täter interagierten anschließend mit verschiedenen DeFi-Protokollen auf Ethereum und Arbitrum, um die Bestände systematisch zu leeren.
Die Diebe nutzten KyberSwap und KelpDAO für Token-Approvals und Swaps. Ziel war die Konvertierung aller Positionen in Ether. Innerhalb einer Stunde konsolidierten die Täter etwa 75.700 ETH in einer einzigen Wallet. Dieser Betrag entspricht einem Marktwert von rund 178 Millionen USD.
Blockchain-Daten deuten auf einen Kompromiss des privaten Schlüssels hin. Ein Exploit in den Smart Contracts der Protokolle ist unwahrscheinlich. Die Angreifer hatten vollen Zugriff auf die Wallet und konnten so alle DeFi-Positionen über zwei verschiedene Netzwerke hinweg kontrollieren und abziehen.
Der On-Chain-Investigator ZachXBT meldete den Vorfall zuerst über Telegram. "KelpDAO scheint vor einer Stunde über 280 Millionen USD auf Ethereum und Arbitrum verloren zu haben", sagte ZachXBT, On-Chain-Analyst. Die betroffene Person hielt signifikante Bestände in verschiedenen DeFi-Projekten auf beiden Chains.
Trend steigender Whale-Angriffe 2026
Dieser Vorfall reiht sich in eine Serie von Angriffen auf Großinvestoren ein. Phishing und Social Engineering nehmen laut Analysten zu. Im Januar 2026 verlor ein einzelnes Opfer bereits 284 Millionen USD. Dieser eine Fall machte über 70 Prozent der gesamten Diebstähle des Monats aus.
Der Markt reagierte am 18. April 2026 mit Kursverlusten. Ethereum notiert aktuell bei 2.350,26 USD, was einem Minus von 3,23 Prozent in 24 Stunden entspricht. Auch Bitcoin sank um 2,20 Prozent auf 75.666 USD. Die Volatilität spiegelt die Unsicherheit nach dem KelpDAO-Vorfall wider.
Parallel zum Wallet-Drain wurde das Instagram-Konto von Pump.fun kompromittiert. Das Team warnte Nutzer vor Beiträgen des Accounts. Die Plattform selbst blieb jedoch operational und die Nutzergelder sind sicher. Dies zeigt die Breite der aktuellen Angriffswellen auf Krypto-Infrastrukturen.
KelpDAO hat sich bisher nicht öffentlich zu dem Verlust geäußert. Die Täter halten die konsolidierten ETH weiterhin in der Ziel-Wallet. Bisher wurden keine Abflüsse aus dieser Wallet registriert. Sicherheitsanalysten erwarten in den kommenden Stunden detailliertere Berichte über die genauen Bewegungen.
Fazit: Fokus auf Hardware-Sicherheit
Für dich bedeutet dieser Vorfall, dass die Sicherheit privater Schlüssel wichtiger ist als die Sicherheit einzelner Protokolle. Ein einziger kompromittierter Key kann alle DeFi-Positionen über mehrere Chains hinweg löschen. Nutze Hardware-Wallets und vermeide die Speicherung großer Summen in Hot-Wallets.
Die Daten zeigen, dass Angreifer gezielt Wale ins Visier nehmen. Achte auf verdächtige Links und schütze deine Seed-Phrase extrem streng. Die Kombination aus Tornado Cash und gezieltem Phishing macht die Rückverfolgung für Opfer nahezu unmöglich.
Quelle: BeInCrypto DE
