KelpDAO verliest $292 miljoen door DeFi-exploit op Ethereum

Het nieuws drong in de vroege ochtend van 21 juni door tot de crypto-gemeenschap: KelpDAO, een liquiditeits-restaking protocol dat gebouwd is op het Ethereum-ecosysteem — inclusief de Layer 2-oplossing Arbitrum — was getroffen door een massale en systematische onttrekking van middelen. Binnen uren nadat de eerste alarmsignalen op blockchain-analysediensten verschenen, was de omvang van de schade pijnlijk duidelijk: $292 miljoen aan crypto-vermogen was uit de protocollen weggevloeid. Voor de duizenden gebruikers die hun ETH en andere tokens in KelpDAO's smart contracts hadden gestort, is de impact direct en vermoedelijk onomkeerbaar.

Maar wat precies is KelpDAO, hoe werkt zo'n aanval, en — misschien wel het belangrijkste — wat zegt dit over de bredere risico's van beleggen in gedecentraliseerde financiële producten? In dit artikel leggen we dat stap voor stap uit, plaatsen we het in een historisch perspectief en vertalen we de gevolgen naar de Nederlandse belegger.

Wat is KelpDAO en waarom zoveel geld erin?

KelpDAO is een zogenaamd liquid restaking protocol. Om te begrijpen waarom er honderden miljoenen in dit soort protocollen zitten, is een korte uitleg van restaking nodig. Ethereum heeft sinds de overgang naar Proof of Stake (september 2022) een mechanisme waarbij houders hun ETH kunnen "staken" — tijdelijk vastzetten om het netwerk te beveiligen en daarvoor beloningen te ontvangen. EigenLayer heeft dit concept uitgebreid door gebruikers toe te staan diezelfde gestakete ETH te hergebruiken ("restaken") als onderpand voor andere netwerken en diensten, waardoor ze dubbele beloningen kunnen verdienen.

KelpDAO springt in op die trend door de zogenaamde "rsETH"-token uit te geven: een vloeibare vertegenwoordiging van gerestakete ETH waarmee gebruikers ook elders in DeFi actief kunnen blijven. Het idee is aantrekkelijk — hogere rendementen op hetzelfde onderpand — maar het introduceert ook extra lagen van complexiteit en risico in de onderliggende smart contracts.

Op het hoogtepunt beheerde KelpDAO meer dan $1 miljard aan vergrendeld vermogen (Total Value Locked, TVL). De combinatie van aantrekkelijke staking yields en de groei van het EigenLayer-ecosysteem trok zowel individuele beleggers als institutionele partijen aan. Die populariteit maakte het protocol ook een aantrekkelijk doelwit voor kwaadwillenden.

Hoe verliep de aanval?

Details over de exacte aanvalsvector zijn op het moment van schrijven nog in onderzoek, maar de eerste bevindingen van blockchain-analytici wijzen op een zogenaamde wallet-drain exploit — een klasse van aanvallen waarbij kwetsbaarheden in smart contracts of goedkeuringslogica (token approvals) worden misbruikt om fondsen uit wallets of liquiditeitspools te draineren zonder dat de eigenaar daar actief toestemming voor heeft gegeven.

De aanval trof twee netwerken gelijktijdig: Ethereum Mainnet en Arbitrum, een veelgebruikte Layer 2-oplossing die transacties goedkoper en sneller verwerkt. Het feit dat de exploit op meerdere ketens tegelijk plaatsvond, suggereert dat de aanvaller(s) grondig vertrouwd waren met de architectuur van het protocol en mogelijk al lange tijd voorbereidingen hadden getroffen — een patroon dat we vaker zien bij grote DeFi-hacks.

Op Ethereum en Arbitrum werden smart contracts aangesproken die gebruikersfondsen beheerden. Door misbruik te maken van een lek in de contract-logica — vermoedelijk rond het beheer van token-goedkeuringen of een herentry-kwetsbaarheid — slaagden de aanvallers erin grote sommen te extraheren en onmiddellijk door meerdere mixers en bridges te sluizen, waardoor tracering bemoeilijkt werd.

De grootste DeFi-hacks op een rij

De hack van KelpDAO is niet op zichzelf staand. DeFi heeft een triest trackrecord als het gaat om exploits van honderden miljoenen. Onderstaande tabel vergelijkt de grootste incidenten:

Protocol	Jaar	Bedrag gestolen	Type aanval	Geld teruggekregen?
Ronin Network (Axie)	2022	$625 miljoen	Gecompromitteerde validatoren	Deels (~$30M)
Poly Network	2021	$611 miljoen	Smart contract exploit	Ja, volledig (hacker retourneerde)
Wormhole Bridge	2022	$320 miljoen	Bridge-kwetsbaarheid	Nee (Jump Crypto dekte het)
KelpDAO	2026	$292 miljoen	Wallet-drain exploit	Onbekend (onderzoek loopt)
Euler Finance	2023	$197 miljoen	Flash loan aanval	Ja, volledig (na onderhandeling)
Nomad Bridge	2022	$190 miljoen	Initialisatiefout	Deels (~$36M)

Wat opvalt: van de zes grootste DeFi-hacks ooit is slechts in twee gevallen het volledige bedrag teruggekeerd. En in beide gevallen was dat dankzij bijzondere omstandigheden — ofwel een ethisch handelende hacker (Poly Network), ofwel een kapitaalkrachtige partij die het gat dichtte (Jump Crypto bij Wormhole). Reken daar bij de KelpDAO-zaak niet op als vanzelfsprekendheid.

Waarom zijn DeFi-protocollen zo kwetsbaar?

De aantrekkingskracht van DeFi is ook zijn grootste zwakte: alles loopt via smart contracts — stukken code die automatisch uitvoeren zonder menselijke tussenpersoon. Dat klinkt als een voordeel (geen bank die je transacties kan blokkeren, geen middleman die commissie heft), maar het betekent ook dat er geen helpdesk is die een fout kan terugdraaien, geen verzekeringsstelsel dat ingrijpt, en geen toezichthouder die gebruikers beschermt.

Smart contracts worden wel geaudit, maar audits zijn geen garantie. Kwetsbaarheden kunnen decennia verborgen blijven in complexe code-interacties. Bovendien worden DeFi-protocollen voortdurend uitgebreid — elke nieuwe feature of integratie opent potentieel nieuwe aanvalsvectoren. KelpDAO's rsETH is een perfect voorbeeld: de extra complexiteitslaag van liquid restaking, met tokens die meerdere onderliggende posities vertegenwoordigen over meerdere netwerken, vergroot het aanvalsoppervlak exponentieel.

Impact op het Ethereum- en Arbitrum-ecosysteem

De directe marktreactie was voorspelbaar: rsETH verloor direct tientallen procenten van zijn waarde op secundaire markten zodra het nieuws uitlekte. Tegelijkertijd daalden de bredere staking- en restaking-gerelateerde tokens, waaronder de eigen token van EigenLayer. Op Arbitrum liepen transactievolumes terug naarmate gebruikers in paniek hun posities probeerden te liquideren, wat leidde tot verhoogde gasprijzen op het netwerk.

Bredere crypto-markten reageerden gematigd — Bitcoin bleef relatief stabiel, wat suggereert dat de markt dit type DeFi-exploit inmiddels als een "sectorspecifiek" risico ziet in plaats van een systeemsignaal. Dat onderscheid is echter misleidend: het kapitaal dat in DeFi-protocollen verdwijnt, is echte koopkracht van echte mensen.

Voor Nederlandse beleggers die via platforms als Bitvavo staking-producten gebruiken of die zelfstandig met hardware wallets in EigenLayer of KelpDAO zijn gestapt, is de vraag urgent: was mijn geld hier betrokken? Bitvavo en andere gereguleerde exchanges hebben direct gecommuniceerd dat zij geen directe blootstelling aan KelpDAO's smart contracts hadden — gebruikers die via gecentraliseerde platforms beleggen zijn in dit geval buiten schot gebleven.

Wat maakt restaking extra risicovol?

Liquid restaking voegt een specifieke dynamiek toe aan het risicoprofiel van crypto-beleggingen. Waar traditioneel staken relatief overzichtelijk is — je zet ETH vast, je ontvangt een rendement — introduceert restaking een keten van afhankelijkheden:

• Slashing-risico: De validator waarvoor jij je ETH hergebruikt kan beboet worden, waarbij jij een deel van je inzet verliest
• Smart contract-risico: Elke extra protocol-laag (KelpDAO, EigenLayer, Arbitrum bridge) is een extra kwetsbaarheid
• Liquiditeitsrisico: De "liquide" token (rsETH) kan zijn koppeling met de onderliggende ETH verliezen, zoals stETH dat ook deed in 2022
• Concentratierisico: Grote hoeveelheden ETH zijn samengebracht in een handvol smart contracts — aantrekkelijk voor aanvallers
• Regulatoire onzekerheid: Restaking-tokens bevinden zich in een juridisch grijsgebied in Nederland en de EU

Als je geïnteresseerd bent in de fiscale kant van crypto-beleggingen, lees dan ook ons uitgebreide artikel over crypto belasting in 2026 — de regels zijn complexer dan veel beleggers denken, en verliezen bij hacks kunnen in bepaalde gevallen wel of niet aftrekbaar zijn.

Hoe bescherm je jezelf als crypto-belegger?

De hack van KelpDAO benadrukt enkele principes die elke serieuze crypto-belegger zou moeten kennen en toepassen:

• Gebruik geen ongeauditeerde protocollen: Controleer of een protocol meerdere onafhankelijke security-audits heeft gehad van gerespecteerde bureaus (zoals Trail of Bits, OpenZeppelin of Sherlock)
• Begrijp wat je goedkeurt: Elke token-approval die je geeft aan een smart contract is een potentieel risico; gebruik tools als Revoke.cash om goedkeuringen regelmatig in te trekken
• Stel een limiet aan DeFi-blootstelling: Behandel DeFi-protocollen als het risicovolste segment van je portfolio — nooit meer dan je volledig kunt missen
• Gebruik gereguleerde tussenpartijen voor de kern van je positie: Platforms zoals Bitvavo vallen onder DNB-toezicht en hebben eigen beveiligingslagen
• Controleer TVL-concentratie: Protocollen met enorm hoge TVL zijn aantrekkelijker voor hackers; paradoxaal genoeg is populariteit een risico-indicator
• Diversifieer over ketens: Concentreer niet al je DeFi-activiteit op één netwerk

De rol van regulering: waarom dit soort hacks blijven gebeuren

Een terugkerend thema in de discussie over DeFi-hacks is de afwezigheid van regulering. In Europa is de MiCA-verordening (Markets in Crypto-Assets) inmiddels van kracht voor gecentraliseerde crypto-dienstverleners, maar gedecentraliseerde protocollen zoals KelpDAO vallen grotendeels buiten het bereik van deze wetgeving. Er is geen "KelpDAO BV" die een vergunning heeft aangevraagd bij de AFM of DNB. Er zijn geen minimale kapitaalvereisten, geen verplichte audits, geen gebruikersbescherming bij faillissement of exploit.

Dit is fundamenteel anders dan de wereld van gereguleerde beleggingen. Als DEGIRO of Bitvavo failliet gaat, zijn er juridische procedures, curator-trajecten en — in het geval van DEGIRO — bescherming via het Beleggerscompensatiestelsel. Als een smart contract wordt geleegd, bestaat er geen equivalent mechanisme. Dat maakt vergelijkingen tussen DeFi-yields en traditionele spaarrentes of ETF-rendementen inherent misleidend.

Voor beleggers die meer willen weten over hoe ze een solide, gediversifieerde beleggingsbasis opbouwen buiten de volatiele DeFi-wereld, biedt onze gids over de beleggingsstrategie voor 2026 een goed startpunt.

Wat betekent dit voor jou als belegger?

De KelpDAO-hack is geen geïsoleerd incident. Het is de zoveelste bevestiging van een patroon dat zich de afgelopen vijf jaar keer op keer heeft herhaald: DeFi-protocollen, hoe innovatief ook, dragen structurele risico's die fundamenteel anders zijn dan de risico's bij gereguleerde beleggingen of zelfs bij gecentraliseerde crypto-exchanges.

Concreet betekent dit voor jou als Nederlandse belegger:

• Als je puur in reguliere crypto (BTC, ETH) belegt via Bitvavo of een andere gereguleerde exchange: dit incident raakt jou indirect via sentiment, maar niet direct via vermogensverlies
• Als je yield farming of liquid staking doet via DeFi-protocollen: heroverweeg je risicoblootstelling en controleer welke smart contracts toegang hebben tot jouw wallet
• Als je erwogen hebt om in restaking-protocollen te stappen: wacht op duidelijkheid over de aanvalsvector bij KelpDAO en laat de situatie volledig ontvouwen voordat je nieuwe posities inneemt
• Als je een breed gespreide crypto-positie hebt: gebruik dit nieuws als aanleiding om je DeFi-blootstelling opnieuw te evalueren als percentage van je totale portfolio

De bottom line is ontnuchterend simpel: hoge yields in DeFi bestaan niet zonder reden. Ze compenseren reële risico's — waarvan smart contract-exploits het meest catastrofale zijn. $292 miljoen weg in één dag is geen uitzondering in DeFi. Het is inmiddels onderdeel van de statistieken die elke serieuze belegger zou moeten kennen voordat hij of zij dit soort producten gebruikt. Bekijk ook onze bitcoin koers verwachting voor 2026 voor meer context over de bredere marktomstandigheden.