KelpDAO wird von gestohlenen Geldern zum Start eines Geldwäscheverfahrens genutzt, THORChain tägliches Volumen steigt um das 10-fache

On-Chain-Analysten Specter berichten, dass die nordkoreanische Hackerorganisation TraderTraitor am 22. April mit Geldwäsche-Operationen gegen das von KelpDAO gestohlene Vermögen begonnen hat – nur drei Stunden, nachdem das Arbitrum-Sicherheitsausschuss rund 30.766 ETH eingefroren hatte. Die Angreifer leiteten die Gelder über eine THORChain-Brücke in das Bitcoin-Netzwerk weiter, wodurch der Tageshandel das 10-Fache des 30-Tage-Tagesdurchschnitts überstieg.

Details der Geldwäsche: Drei Wallets, Mischtechnik und Cross-Chain-Übertragungen

(Quelle: Arkham)

Die Angreifer teilten die verbleibenden Gelder auf drei Wallets auf: Das erste hielt etwa 25.000 ETH (ca. 57,6 Millionen USD), das zweite hielt etwa 25,7.000 ETH (ca. 59,2 Millionen USD), und das dritte begann unmittelbar nach Erhalt der Gelder mit der Geldwäsche; aktuell verbleiben nur noch etwa 3.800 ETH (ca. 8 Millionen USD).

Die gestohlenen Gelder wurden im Zuge der Geldwäsche mit den illegalen Erlösen aus den Hackerfällen BTC Turk (2025) und Bybit (2025) vermischt – dies ist ein typisches Vorgehen der TraderTraitor-Organisation: Durch die Zusammenführung von Geldern aus mehreren Vorfällen wird die On-Chain-Nachverfolgung erschwert. Specter weist darauf hin, dass sie zwar 356 zugehörige Adressen identifiziert haben, aber noch mehrere Zwischen-Wallets nicht in die Statistik einbezogen wurden; die Gesamtzahl der verwendeten Adressen überstieg 400.

Kaskadierende Auswirkungen des KelpDAO-Angriffs: Aave-Schuldenabschreibung bis zu DeFi TVL-Einbruch

Laut Messari liegt der grundlegende Grund für diesen Angriff in der 1:1 DVN-Konfiguration von LayerZero EndpointV2, die es Angreifern ermöglicht, Cross-Chain-Nachrichten zu fälschen. Nachdem die Angreifer zwei LayerZero-DVN-Knoten kompromittiert hatten, simulierten sie die rsETH-Zerstörung und lösten die nicht autorisierte Freigabe von 116.500 rsETH aus.

Die Auswirkungen griffen schnell auf das gesamte DeFi-Ökosystem über: Aave-Schuldenabschreibungen werden auf 123,7 Millionen bis 230,1 Millionen USD geschätzt, das TVL sank von rund 45,8 Milliarden USD auf 35,7 Milliarden USD; das gesamte DeFi TVL fiel innerhalb von 48 Stunden um mehr als 13 Milliarden USD; der AAVE-Token fiel um etwa 25 %; der WETH-Markt erreichte eine Auslastung von 100 %, was einen Abfluss von 6,2 Milliarden USD auslöste.

Frühe Gegenmaßnahmen und Ausgleichsplan für rsETH-Inhaber

Zu den wichtigsten Gegenmaßnahmen gehören: Das Einfrieren von rund 30.766 ETH durch das Arbitrum-Sicherheitsausschuss; Kelp setzt alle rsETH-Verträge im Mainnet und auf der L2-Ebene aus; LayerZero verbietet die zukünftige Nutzung der 1:1-DVN-Konfiguration. Kelp prüft derzeit die Einführung von Maßnahmen zum anteiligen Verlustausgleich von 16 % für rsETH-Inhaber, aber Messari weist darauf hin, dass dies das Nutzervertrauen der betroffenen Protokolle und die Erholungsdynamik beeinträchtigen könnte.

Häufige Fragen

Warum hat TraderTraitor THORChain als Geldwäschekanal gewählt?

THORChain ist ein erlaubnisfreies Cross-Chain-Liquiditätsprotokoll, das das Umtauschen von Vermögenswerten zwischen verschiedenen Blockchains ermöglicht und keine KYC-Verifizierung verlangt. In der Vergangenheit nutzte TraderTraitor im Bybit-Hackerfall ebenfalls denselben THORChain-Kanal, was zeigt, dass dies zu einem festen Vorgehensmuster der nordkoreanischen Hackerorganisation nach großen Massenraubzügen geworden ist.

Warum musste diese Geldwäsche Gelder aus den Bybit- und BTC-Turk-Vorfällen mischen?

Das Vermischen von Geldern ist ein Standardvorgehen bei Geldwäsche: Durch das Zusammenführen der gestohlenen Gelder aus mehreren Vorfällen wird es für Nachverfolger noch schwieriger, die ursprüngliche Quelle und Zuordnung bestimmter Gelder zu erkennen. Die gestohlenen Gelder von KelpDAO wurden während der Zirkulation über THORChain bereits mit den illegalen Geldern aus den Hackerfällen BTC Turk (2025) und Bybit vermischt und bilden so eine Geldkette, die noch schwerer aufzulösen ist.

Wie wirkt sich der 16%-Anteil-Verlustausgleichsplan von Kelp auf rsETH-Inhaber aus?

Wenn der Ausgleichsplan abschließend bestätigt wird, tragen rsETH-Inhaber etwa 16 % des Verlusts entsprechend ihrem Anteil am Bestand. Das heißt: Für jeden Inhaber von 100 rsETH wird der nominelle Vermögenswertwert um etwa 16 % abgewertet. Der Ausgleichsmechanismus hilft dabei, einen Teil der Verluste betroffener Nutzer abzufedern, kann aber auch die Geschwindigkeit der Wiederherstellung des Marktvertrauens in rsETH und das Kelp-Protokoll insgesamt beeinflussen.