KelpDAO verliert 280 Millionen USD durch DeFi-Wallet-Abfluss auf Ethereum, Arbitrum

KelpDAO hat Berichten zufolge mehr als 280 Millionen USD verloren, nachdem Angreifer Positionen über mehrere dezentrale Finanzprotokolle (DeFi) auf Ethereum und Arbitrum abgezogen haben.
Der On-Chain-Ermittler ZachXBT machte auf den Vorfall aufmerksam und identifizierte sechs von Angreifern kontrollierte Wallets, die aktiv die gestohlenen Mittel bewegten.
Wie der KelpDAO-Angriff ablief
Blockchain-Daten zeigen, dass die Angreifer-Wallets ihre erste Finanzierung einige Stunden vor Beginn des Diebstahls über Tornado Cash, einen Privacy-Mixer, erhalten haben.
Anschließend interagierten die Wallets mit DeFi-Protokollen, führten Token-Genehmigungen und Swaps über KyberSwap und KelpDAO aus und wandelten am Ende alle Positionen in Ether (ETH) um.
„KelpDAO scheint vor einer Stunde mehr als 280 Millionen USD auf Ethereum und Arbitrum verloren zu haben. Die Angriffs-Adressen wurden über Tornado Cash finanziert”, schrieb ZachXBT auf Telegram.
Innerhalb von etwa einer Stunde haben die Angreifer rund 75.700 ETH, mit einem Wert von etwa 178 Millionen USD zu aktuellen Preisen, in einer einzelnen Wallet zusammengeführt.
Der verbleibende gestohlene Wert enthält weitere Token und Positionen auf Arbitrum. Bis zum Zeitpunkt der Veröffentlichung wurden keine Abflüsse aus der Konsolidierungs-Wallet festgestellt.
Das Muster deutet auf einen kompromittierten privaten Schlüssel hin, statt auf einen Smart Contract-Exploit in einem bestimmten Protokoll.
Das Opfer scheint eine erhebliche DeFi-Exponierung auf beiden Blockchains gehalten zu haben, und der Angreifer hat diese Positionen systematisch abgezogen und in ETH getauscht.
Ein zunehmendes Muster gezielter Angriffe auf große Halter
Dieser Vorfall folgt auf einen rasanten Anstieg von Phishing- und Social-Engineering-Angriffen, die sich gezielt gegen große Halter richten.
Im Januar 2026 allein verlor ein einzelnes Phishing-Opfer 284 Millionen USD, was über 70% der gesamten Kryptodiebstahlverluste des Monats ausmachte.
Wenn die Summe von 280 Millionen USD bestätigt wird, zählt dies zu den größten individuellen Wallet-Kompromittierungen, die bisher bekannt sind.
Sicherheitsanalysten werden voraussichtlich in den kommenden Stunden eine tiefere On-Chain-Analyse veröffentlichen.
KelpDAO hat sich bislang nicht öffentlich zu dem Vorfall geäußert und antwortete nicht direkt auf eine Anfrage von BeInCrypto.
Berichten zufolge wurde zudem das Instagram-Konto von Solana-Memecoin-Launchpad Pump.fun kompromittiert.
„Keinen Posts des offiziellen Pump.fun Instagram-Kontos sollte derzeit vertraut werden. Ignorieren Sie sämtliche Posts von diesem Konto, bis wir das Konto gesichert haben”, teilte das Team mit.
Trotzdem sind die Plattformen von Pump.fun weiterhin in Betrieb und die Nutzer-Vermögenswerte sind sicher.