Kelp DAO-hack: verdwenen miljoenen maken herstel steeds onwaarschijnlijker
Kelp DAO-hack bereikt nieuw dieptepunt
De kans dat een groot deel van de gestolen crypto uit de Kelp DAO-hack ooit terugkeert naar gedupeerde gebruikers, wordt steeds kleiner. Uit nieuwe blockchaingegevens blijkt dat de hacker achter de aanval vrijwel alle niet-bevroren fondsen heeft weggesluisd. Het gaat om ongeveer $220 miljoen aan cryptovaluta die in de afgelopen zes weken via verschillende netwerken en anonimiseringsdiensten zijn verplaatst.
De aanval op Kelp DAO was met een totale schade van $293 miljoen een van de grootste crypto-hacks van het jaar. Inmiddels lijkt een groot deel van het spoor naar de verdwenen fondsen bewust te zijn uitgewist.
Hoe de hacker de gestolen crypto verplaatste
Volgens blockchainonderzoekers gebruikte de aanvaller een combinatie van Bitcoin en Ethereum om de herkomst van de gestolen middelen te verbergen. De fondsen werden eerst via Wasabi verwerkt, een dienst die transacties mengt om ze moeilijker te volgen te maken. Daarna kwamen de middelen terug op Ethereum, waar een deel via Tornado Cash verder werd verspreid.
Deze aanpak maakt het voor onderzoekers aanzienlijk lastiger om transacties aan elkaar te koppelen. Hoewel blockchains openbaar zijn, kunnen dergelijke technieken de herkomst van fondsen vertroebelen en daarmee de kans op herstel verkleinen.
Op dit moment zou nog slechts ongeveer $1,7 miljoen direct traceerbaar zijn.
Wat gebeurde er bij de Kelp DAO-hack?
De aanval vond plaats op 18 april en trof het rsETH-systeem van Kelp DAO. rsETH is een zogenoemde restaked Ether-token. Bij restaking gebruiken investeerders eerder vastgezette ETH opnieuw om extra rendement te verdienen binnen andere protocollen.
Tijdens de aanval wist de hacker ongeveer 116.500 rsETH buit te maken. Daarmee groeide het totale verlies door crypto-hacks in april naar ongeveer $630 miljoen.
Ondanks de omvang van de aanval slaagden betrokken partijen er wel in om een deel van de fondsen veilig te stellen.
Nog altijd staat $71 miljoen bevroren
Kort na de hack bevroor de Security Council van Arbitrum ongeveer $71 miljoen aan gestolen tegoeden. Deze fondsen bevinden zich momenteel onder juridisch toezicht terwijl verschillende partijen aanspraak maken op het eigendom.
Een Amerikaanse rechtbank keurde eerder goed dat de bevroren middelen worden beheerd via een speciale multi-signature wallet. Dat is een cryptowallet waarvoor meerdere goedkeuringen nodig zijn voordat transacties kunnen plaatsvinden.
Later deze week staat een nieuwe rechtszitting gepland in New York. Daar moet meer duidelijk worden over de toekomst van deze resterende fondsen.
Kelp DAO rondt technisch herstel af
Ondanks de financiële schade heeft Kelp DAO de afgelopen weken gewerkt aan het herstel van zijn infrastructuur. Het protocol maakte onlangs bekend dat het herstel van rsETH is afgerond.
Daarbij werden de laatste tokens teruggebracht naar de systemen die verantwoordelijk zijn voor het verplaatsen van rsETH tussen verschillende blockchains. Hierdoor functioneert het protocol technisch gezien weer zoals bedoeld.
Voor gebruikers verandert dat echter niets aan de onzekerheid rondom de verdwenen miljoenen.
Minder crypto-hacks, maar zorgen binnen DeFi blijven
Opvallend genoeg laten de cijfers voor mei juist een sterke daling zien van het aantal succesvolle crypto-aanvallen. Volgens beveiligingsbedrijf CertiK verloren projecten en gebruikers samen ongeveer $68,3 miljoen door hacks en exploits. Dat is bijna 90 procent minder dan in april.
Toch heeft de Kelp DAO-hack de discussie over beveiliging binnen DeFi opnieuw aangewakkerd.
DeFi staat voor decentralized finance, een verzamelnaam voor financiële diensten die draaien op blockchains zonder tussenkomst van banken. Gebruikers kunnen er lenen, sparen, handelen en rendement verdienen via slimme contracten. Juist doordat grote bedragen volledig afhankelijk zijn van software, kunnen fouten of kwetsbaarheden grote gevolgen hebben.
Projecten kiezen voor extra beveiliging
De impact van de hack blijft niet beperkt tot Kelp DAO. Verschillende DeFi-projecten hebben hun infrastructuur inmiddels aangepast om soortgelijke problemen te voorkomen.
Onder meer Solv Protocol en Tydro stapten over naar Chainlink CCIP, een systeem dat communicatie tussen verschillende blockchains veiliger moet maken. Ook Kelp DAO migreerde zijn rsETH-token naar deze technologie.
Volgens Kelp DAO speelde de bestaande cross-chain infrastructuur een belangrijke rol bij de aanval. LayerZero, waarvan eerder gebruik werd gemaakt, stelde echter dat de kwetsbaarheid ontstond door een specifieke implementatie van Kelp DAO zelf en niet door de onderliggende technologie.
De discussie laat zien hoe belangrijk de technische inrichting van DeFi-protocollen is geworden nu steeds grotere bedragen via verschillende blockchains bewegen.
Conclusie
De Kelp DAO-hack blijft een van de grootste beveiligingsincidenten van 2026. Nu vrijwel alle niet-bevroren fondsen zijn witgewassen, lijkt de kans op volledig herstel klein. Tegelijkertijd dwingt de aanval de DeFi-sector om kritischer te kijken naar de beveiliging van cross-chain systemen en de manier waarop protocollen risico’s beheren.
Voor crypto-investeerders is dat een belangrijke herinnering dat rendement en risico binnen DeFi nog altijd hand in hand gaan.
FAQ
Wat is Kelp DAO?
Kelp DAO is een DeFi-protocol dat gebruikers de mogelijkheid biedt om ETH opnieuw in te zetten via restaking. In ruil daarvoor ontvangen zij een token genaamd rsETH.
Wat betekent witwassen van crypto?
Bij het witwassen van crypto probeert een aanvaller de herkomst van gestolen fondsen te verbergen door gebruik te maken van verschillende netwerken, wallets en anonimiseringsdiensten.
Is het gestolen geld nog terug te halen?
Een deel van de fondsen, ongeveer $71 miljoen, staat nog altijd bevroren. Het grootste deel van de overige tegoeden is echter verplaatst via complexe transactieroutes, waardoor herstel steeds moeilijker wordt.
