KelpDAO-hacker verplaatst $175 miljoen na Arbitrum-freeze
De KelpDAO-attacker zit niet stil. Dinsdag 21 april werd ongeveer 75.700 ETH, goed voor zo’n 175 miljoen dollar, naar twee verse wallets gestuurd. Dat gebeurde slechts uren nadat Arbitrum 30.766 ETH had bevroren die aan dezelfde exploit worden gelinkt. Het signaal is duidelijk: de buit wordt niet alleen vastgehouden, maar actief verplaatst.
En nee, dat voelt niet als toeval. Arbitrum zei zelf dat de Security Council met noodbevoegdheden had ingegrepen en de fondsen had overgezet naar een bevroren tussenwallet die alleen via verdere governance-actie nog kan bewegen. Dat is precies het soort ingreep waar een attacker op reageert.
De hack zelf was al enorm
De basis van dit verhaal ligt op vrijdag 18 april om 17:35 UTC. Volgens Aave’s incidentrapport werd via Kelp’s LayerZero V2-route van Unichain naar Ethereum een vervalst inbound bericht geverifieerd in een 1-op-1 DVN-configuratie.
Daardoor kwam 116.500 rsETH vrij uit de Ethereum-side adapter. Binnen minuten werd die buit uitgespreid over zeven adressen. Zeven aan de attacker gelinkte adressen hadden daarna actieve rsETH-gedekte leningen met health factors rond 1,01 tot 1,03. Dat is akelig dicht op de rand.
Aave benadrukte tegelijk dat het protocol zelf niet was gehackt, maar dat rsETH als collateralprobleem moest worden ingedamd. Daarom werden rsETH- en wrsETH-markten op meerdere deployments snel bevroren.
KelpDAO en LayerZero kwamen direct met noodreacties
KelpDAO meldde op 18 april zelf dat het verdachte cross-chain activiteit rond rsETH had gezien en zette daarop rsETH-contracten op mainnet en meerdere layer-2’s stil. Een dag later kwam LayerZero met een veel hardere uitleg: voorlopige indicatoren wijzen volgens het bedrijf op een zeer geavanceerde statelijke actor, waarschijnlijk de Noord-Koreaanse Lazarus Group of TraderTraitor.
Tegelijk schoof LayerZero de technische oorzaak nadrukkelijk richting KelpDAO’s single-DVN-opzet. Dat is nog geen juridische vaststelling, maar wel een zwaar signaal.
Nu begint het lastige deel pas echt
Wat deze nieuwe verplaatsing zo relevant maakt, is dat het herstelverhaal er niet beter op wordt. ZachXBT meldde dat al ongeveer 1,5 miljoen dollar via THORChain van Ethereum naar Bitcoin is gegaan en dat nog eens circa 78.000 dollar via Umbra liep.
CoinDesk meldde daarnaast dat de gestolen fondsen inmiddels over chains bewegen met privacytools ertussen. Zodra dat patroon doorzet, wordt tracing lastiger en wordt snel ingrijpen een stuk moeilijker.
Daar zit dus de echte marktimpact. Niet alleen in de hack zelf, maar in wat erna gebeurt. Arbitrum heeft een deel kunnen vastzetten. De rest beweegt nog. En zolang die fondsen blijven doorschuiven via verse wallets, privacyrails en cross-chain routes, blijft de kans op een nette afwikkeling kleiner worden. Die conclusie is een afleiding uit de on-chain bewegingen en de maatregelen tot nu toe, maar wel een voor de hand liggende.
Dit raakt allang niet meer alleen KelpDAO
De nasleep is breder. Aave’s rapport maakt duidelijk dat de attacker de buit niet simpelweg dumpt, maar gebruikte om leningen tegen rsETH-collateral op te zetten. Daardoor is dit niet alleen een brugexploit, maar ook een stress test voor DeFi-leningen, risk parameters en de snelheid van noodingrepen.
En dat is precies waarom deze zaak nog niet klaar is. De markt kijkt nu naar drie dingen: of er meer fondsen via THORChain en Umbra verdwijnen, of extra wallets nog kunnen worden bevroren, en of de al veiliggestelde ETH uiteindelijk echt kan worden teruggesluisd. De hack was groot. Maar de volgende stappen van de attacker gaan bepalen hoe groot de uiteindelijke schade echt wordt.
Ga verder met lezen
Dit vind je misschien ook leuk
Laat mensen jouw mening weten
Lees ook
Populair Nieuws
Loading
