Arbitrum „gab sich als Hacker aus“ – und „stahl zurück“ die gestohlenen Gelder von KelpDAO

In DeFi enden Geschichten selten, wenn die Exploit-Transaktion verarbeitet wurde. Der KelpDAO-Vorfall – weithin beschrieben als eines der größten DeFi-Sicherheitsereignisse im Jahr 2026 – hat gerade eine unerwartete Fortsetzung gefunden: Arbitrum führte eine Notfallaktion auf der Kette durch, bei der die Adresse des Exploiter nachgeahmt wurde und ~ 30.765 ETH in eine eingefrorene Tresoradresse verschoben wurden. Damit wurden effektiv die Gelder, die sich noch auf Arbitrum One befanden, „zurückgestohlen“ (oder genauer gesagt, eingefroren und beschlagnahmt).

Dieser Beitrag erklärt, was passiert ist, wie es funktionierte und was dies für alle bedeutet, die im sich schnell entwickelnden Krypto-Sicherheitsumfeld von 2025–2026 auf Layer 2, Cross-Chain-Bridges und Restaking / Liquid Restaking Tokens setzen.

---

Was geschah: Von einem Brücken-Exploit im Wert von 292 Mio. $ zu verstreuten ETH über Ketten hinweg

Der KelpDAO-Exploit (18. April 2026)

Laut mehreren Analysen des Vorfalls begann der Angriff gegen 18.04.2026 17:35 UTC und konzentrierte sich auf das Cross-Chain-Setup von KelpDAO's rsETH (aufgebaut auf LayerZero-ähnlichen Messaging- und Verifizierungssystemen). Vereinfacht ausgedrückt konnte der Angreifer eine Cross-Chain-Nachricht fälschen / validieren, indem er eine Konfiguration ausnutzte, die einen Single Point of Failure (z. B. „1-von-1“-Verifizierung) schuf, was die Freigabe von Vermögenswerten ermöglichte, als ob eine legitime Brückenabhebung stattgefunden hätte.

Wenn Sie eine technische, aber lesbare Aufschlüsselung wünschen, sind dies gute Anlaufstellen:

• Aave Governance Incident Report (hohes Signal und konkreter Zeitplan): rsETH Incident Report (April 20, 2026)
• Blockaid's Analyse (Threat-Model-Ansatz): How a Single LayerZero DVN Compromise Drained $292M from KelpDAO
• Hypernative's Deep Dive (Semantik von Cross-Chain-Nachrichten): The KelpDAO Observation-Layer Exploit
• Branchenübersicht mit Kontext (Englisch): TechFlow report on the KelpDAO exploit

Die „übrig gebliebenen“ Gelder auf Arbitrum: ~ 30.765 ETH

Nach größeren Exploits fragmentieren sich die Gelder in der Regel: Bridges, Swaps und Hop-Routen verteilen Vermögenswerte über mehrere Netzwerke. In diesem Fall verblieb ein großer Teil der ETH auf Arbitrum One – rund 30.765,6675 ETH – im Wert von etwa + 70 Mio. $ zum Zeitpunkt der Berichterstattung.

---

Die Wendung: Arbitrum gab sich als Exploiter aus, um Gelder in ein Freeze-Vault zu verschieben (21. April 2026)

Am 21. April 2026 (23:26 Uhr ET) führte der Sicherheitsrat von Arbitrum eine Notfallmaßnahme durch, die:

1. Einen Arbitrum-Systemvertrag (den Inbox-Vertrag auf Ethereum) vorübergehend aktualisierte.
2. Eine Funktion hinzufügte, die eine L1 → L2-Nachricht ermöglichte, die den Transaktionssender nachahmen konnte.
3. Eine Cross-Chain-Transaktion sendete, die vom Exploiter-Adresse auszugehen schien.
4. Die ETH in die Adresse 0x0000000000000000000000000000000000000DA0 (eine designierte eingefrorene Adresse) überwies.
5. Anschließend den Vertrag wieder auf seine ursprüngliche Implementierung zurückaktualisierte – ein „atomares“ operationelles Muster, das darauf ausgelegt war, das Upgrade-Fenster zu minimieren.

Primärquelle:

• Arbitrum DAO Forum: Security Council Emergency Action – 21/04/2026

Nachrichtenübersicht (Chinesisch):

• 深潮 TechFlow 快讯：Arbitrum 安全委员会紧急冻结 KelpDAO 相关 30,766 ETH

Sie können die spezifischen On-Chain-Artefakte auch aus dem Forum-Post einsehen:

• Etherscan Transaction Hash (L1-Aktion)
• Arbiscan Transaction Hash (L2-Transfer an Freeze-Adresse)

Deshalb fassten die Leute es wie folgt zusammen: „Arbitrum gab sich als Hacker aus und stahl das Geld zurück.“ Technisch gesehen war es ein von der Governance genehmigtes Notfallverfahren, das sich auf die Upgrade-/Admin-Fähigkeiten von Arbitrum stützte.

---

Warum das wichtig ist: Es ist nicht nur eine Rettungsgeschichte – es ist ein Realitätscheck für Dezentralisierung

1) „Code ist Gesetz“ trifft „Sicherheitsrat ist Gesetz“

Die Kryptoindustrie hat jahrelang daran gearbeitet, von „Admin-Schlüsseln überall“ zu einer schrittweisen Dezentralisierung überzugehen. Aber Layer 2-Sicherheitsräte und Notfallbefugnisse existieren immer noch aus einem Grund: schnelle Reaktion.

Die Arbitrum-Aktion zeigt eine harte Wahrheit:

• Wenn ein Netzwerk Kernverträge aktualisieren kann, kann es unter außergewöhnlichen Bedingungen auch ändern, wer effektiv die Kontrolle über Gelder hat.

Dies ist weder rein gut noch rein schlecht – aber es ist ein Risikofaktor, den Nutzer berücksichtigen müssen, wenn sie Ketten und Protokolle auswählen.

Wenn Sie diese Kompromisse systematisch bewerten möchten, hilft es, neutrale Infrastruktur-Dashboards wie die folgenden zu überprüfen:

• L2BEAT (Layer 2 Risk Overview)

2) Cross-Chain-Bridge-Risiko bleibt eine Top-Bedrohung in 2025–2026

Selbst mit verbesserten Audits und formaler Verifizierung sind Bridge-Konfigurationen und Verifizierungsannahmen immer noch häufige Fehlerquellen. Der Fall KelpDAO verstärkt ein wiederkehrendes Muster:

• Die Schwachstelle ist oft nicht eine einzelne „fehlerhafte Zeile Solidity“, sondern eine Systemdesign-/Konfigurationsentscheidung, die einen stillen Single Point of Failure schafft.

Die Verfolgung von Exploit-Trends anhand öffentlicher Daten kann Nutzern helfen, die Häufigkeit dieser Ereignisse zu verstehen:

• DeFiLlama (DeFi Hacks and TVL Data)

3) Das Präzedenzfallproblem: Wann ist es akzeptabel, Gelder zu „beschlagnahmen“?

Arbitrums Vorgehen wird wahrscheinlich zu Debatten auf Crypto Twitter, in Governance-Foren und Forschungszirkeln führen:

• Wenn es akzeptabel ist, gestohlene Gelder einzufrieren, ist es dann akzeptabel, sanktionierte Gelder einzufrieren?
• Was ist mit streitigem Eigentum, Protokollinsolvenz oder Gerichtsbeschlüssen?
• Wer entscheidet, was als „Notfall“ gilt und welche Schutzmaßnahmen gibt es?

Der wichtigste Punkt für Nutzer: Diese Befugnisse existieren – und Ihr Risikomodell sollte sie widerspiegeln.

---

Praktische Erkenntnisse für DeFi-Nutzer: Was Sie nach KelpDAO anders machen sollten

1) Behandeln Sie Bridges und „Omnichain-Assets“ als risikoreicher als Single-Chain-Assets

Wenn Ihre Strategie auf Bridging (oder das Halten von gebrückten Repräsentationen) angewiesen ist, erwägen Sie:

• Begrenzen Sie die Positionsgröße bei gebrückten Assets.
• Bevorzugen Sie Routen mit stärkeren, Multiparty-Verifizierungsannahmen.
• Vermeiden Sie „neue Kette + neue Bridge + neue LRT“-Stacks, es sei denn, Sie können Tail-Risiken tolerieren.

2) Gehen Sie davon aus, dass jede Genehmigung zu einem Verlustereignis werden kann

Viele Vorfälle im neunstelligen Bereich monetarisieren letztendlich durch Allowances, Signaturen und Permissions-Overlays, die Nutzer nicht erneut überprüfen.

Grundlegende Hygiene, die weiterhin funktioniert:

• Verwenden Sie separate Wallets für langfristige Bestände vs. aktives DeFi.
• Widerrufen Sie Genehmigungen regelmäßig (insbesondere nach der Interaktion mit neuen Protokollen).
• Überprüfen Sie Domains sorgfältig (Phishing-Angriffe nehmen oft direkt nach großen Vorfällen zu).

3) Hardware-Wallets helfen – aber nur, wenn Sie sie bewusst einsetzen

Eine Hardware-Wallet kann DeFi nicht magisch sicher machen, aber sie kann bestimmte Risikoklassen materiell reduzieren, indem sie Schlüssel offline hält und explizite Bestätigungen für sensible Aktionen erzwingt.

Wenn Sie OneKey verwenden, ist die relevanteste Gewohnheit: Verlangsamen Sie sich beim Signierschritt. Behandeln Sie jede Signatur/Genehmigung als eine echte finanzielle Entscheidung, insbesondere in schnelllebigen L2-Umgebungen, in denen Angreifer auf die Dringlichkeit der Nutzer angewiesen sind.

---

Was als Nächstes geschieht: Die Governance entscheidet, ob eingefrorene Gelder freigegeben werden können

Arbitrums Forum-Post ist eindeutig: Die ETH ist eingefroren, und eine nachfolgende Aktion der Arbitrum Governance ist erforderlich, um sie freizugeben (voraussichtlich in Koordination mit den betroffenen Parteien und laufenden Untersuchungen). Sehen Sie die offizielle Formulierung und die sich entwickelnde Diskussion hier:

• Security Council Emergency Action – 21/04/2026 (Arbitrum DAO Forum)

Mit anderen Worten, das Kapitel „Steal-Back“ ist keine saubere Umkehrung – es ist der Beginn eines Governance-, rechtlichen und sozialen Koordinationsprozesses.

---

Abschließender Gedanke

Der Exploit von KelpDAO und die Notfallreaktion von Arbitrum unterstreichen ein bestimmendes Thema von Krypto in 2025–2026: Sicherheit dreht sich nicht mehr nur um Smart Contracts – es geht um Konfiguration, Cross-Chain-Annahmen und Governance-Macht.

Wenn Sie heute an DeFi teilnehmen, liegt Ihr Vorteil nicht nur in der Rendite – es liegt im Verständnis, wo die Kontrolle wirklich liegt, wenn etwas schiefgeht.