KelpDAO-Exploiter verschiebt 75.700 ETH auf zwei neue Wallets – Minuten nach dem Einfrieren durch Arbitrum

Der Beitrag KelpDAO-Exploiter verschiebt 75.700 ETH auf zwei neue Wallets – kurz nach Arbitrums Einfrierung erschien zuerst auf Coinpedia Fintech News

Der KelpDAO-Exploiter verschob am 21.04.2026 75.700 ETH (ca. 175 Millionen US-Dollar) auf zwei neue Wallet-Adressen. Dies geschah nur wenige Stunden, nachdem der Sicherheitsrat von Arbitrum bekanntgab, 30.766 ETH im Zusammenhang mit demselben Hack eingefroren zu haben. 

Dies deutet darauf hin, dass der Angreifer aktiv versucht, den Wiederherstellungsmaßnahmen einen Schritt voraus zu sein.

KelpDAO-Exploiter verschiebt ETH im Wert von 175 Mio. US-Dollar auf neue Wallets

Der Sicherheitsrat von Arbitrum hatte kaum die Einfrierung von 30.766 ETH (im Wert von 70 Millionen US-Dollar) gefeiert, als der Exploiter seinen nächsten Schritt machte.

Laut dem Blockchain-Sicherheitsunternehmen PeckShieldAlert übertrug der KelpDAO-Angreifer insgesamt 75.700 ETH auf zwei brandneue Wallet-Adressen. 

On-Chain-Daten bestätigen, dass die Übertragungen eindeutig in zwei Teile aufgeteilt sind.

• Zunächst wurden rund 25.000 ETH (57,93 Mio. US-Dollar) an die Adresse 0xF980…15910 gesendet.
• Anschließend wurden rund 50.700 ETH (117,48 Mio. US-Dollar) an die Adresse 0xABc8…36FAD gesendet.

Beide Transaktionen wurden markiert, und das Quellkonto ist in On-Chain-Trackern als Kelp DAO Exploiter 1 gekennzeichnet.

Umbra Cash und THORChain: Ein zweistufiger Fluchtweg

Was die Situation ernster macht, ist nicht nur, wie schnell die Mittel bewegt werden, sondern auch wohin sie fließen.

Kleine ETH-Übertragungen wurden bereits über Umbra Cash abgewickelt, das Transaktionsspuren durch Einmaladressen verschleiert.

Doch die Bewegung hörte nicht dort auf. 

Das Blockchain-Sicherheitsunternehmen CertiK berichtet, dass der Angreifer mithilfe von THORChain – einem System, das es ermöglicht, Vermögenswerte ohne zentrale Börse zwischen Blockchains zu bewegen – auch Mittel in Bitcoin umschichtet.

Zusammen helfen diese Tools dem Angreifer, zunächst die Spur auf Ethereum zu verwischen und die Mittel dann vollständig aus dem Netzwerk in Bitcoin zu verlagern, was eine Rückgewinnung erheblich erschwert.

Alte Wallet fast leer – nicht einmal Gasgebühren übrig

Die ursprüngliche Wallet wurde nun nahezu vollständig geleert. Es verbleiben nur noch etwa 0,768 ETH – nicht genug, um künftige Transaktionsgebühren zu decken. Dies zeigt deutlich, dass der Angreifer die Adresse verlassen und den Betrieb auf neue Wallets verlagert hat.

Die Einfrierung löste offensichtlich eine sofortige Reaktion des Exploiters aus, der keine Zeit verlor, die verbleibenden Mittel zu verstreuen.

Was kommt als Nächstes?

Die Lage ist nach wie vor angespannt. Alle Augen sind darauf gerichtet, ob der Sicherheitsrat von Arbitrum, die Strafverfolgungsbehörden und Blockchain-Tracker schnell genug handeln können, um die neuen Wallet-Bewegungen zu verfolgen.

Die 30.766 ETH, die zuvor eingefroren wurden, sind weiterhin sicher gesperrt. Die 75.700 ETH, die sich nun in zwei neuen Wallets befinden, sind jedoch nicht gesichert, was die nächsten Schritte besonders wichtig macht.

Gleichzeitig beobachten Sicherheitsteams diese neuen Adressen nun genau. Jede weitere Bewegung könnte Hinweise auf den nächsten Schritt des Angreifers liefern.