290 Mio. $ Kelp DAO-Verstoß mit Lazarus-Gruppe und schwacher Bridge-Sicherheit verbunden

Wichtigste Erkenntnisse

• Ungefähr 290–293 Millionen US-Dollar wurden von Kelp DAO nach einem ausgeklügelten Angriff auf RPC-Knoten gestohlen, die mit dem Verifizierungssystem von LayerZero verbunden waren
• Kelp DAO hat angeblich die Sicherheitsempfehlungen von LayerZero zur Implementierung mehrerer Verifizierer missachtet und nur mit einem Verifizierer gearbeitet
• Vorläufige Beweise deuten auf die Lazarus-Gruppe Nordkoreas als Täter hinter dieser Sicherheitsverletzung hin
• Neun DeFi-Plattformen, insbesondere Aave, erlitten kaskadierende Schäden, wobei der Gesamter gesperrter Wert (TVL) von Aave um 6 Milliarden US-Dollar zurückging
• In Zukunft hat LayerZero erklärt, dass es sich weigern wird, Anwendungen zu unterstützen, die mit Einzelverifizierer-Konfigurationen arbeiten

Bei einer der bedeutendsten Sicherheitsverletzungen im Bereich Dezentralisierte Finanzen im Jahr 2026 erlitt Kelp DAO Verluste in Höhe von ungefähr 290–293 Millionen US-Dollar während eines Wochenendangriffs. LayerZero, das Cross-Chain-Messaging-Protokoll, das bei dem Vorfall verwendet wurde, hat die Schwachstelle auf Infrastrukturentscheidungen von Kelp zurückgeführt.

Der Angriff konzentrierte sich auf den Transfermechanismus des rsETH-Tokens von Kelp über verschiedene Blockchain-Netzwerke. Der Betrieb mit einer Einzelverifizierer-Architektur bedeutete, dass nur eine Instanz Cross-Chain-Transfers validieren musste. Laut LayerZero hatte das Unternehmen Kelp ausdrücklich vor dieser Konfiguration gewarnt und zur Einführung mehrerer unabhängiger Verifizierungsquellen aufgefordert.

Die Hacker infiltrierten zwei Remote-Procedure-Call-Knoten – spezialisierte Server, die es Software ermöglichen, mit Blockchain-Daten zu interagieren. Diese legitimen Knoten wurden durch kompromittierte Versionen ersetzt, die betrügerische Informationen an das Verifizierungssystem von LayerZero übermittelten, während sie gegenüber anderen Infrastrukturkomponenten ein normales Erscheinungsbild beibehielten.

Da der Verifizierungsprozess von LayerZero auch legitime externe Knoten konsultierte, starteten die Angreifer eine Distributed-Denial-of-Service-Kampagne, um diese Systeme zu deaktivieren. Diese Taktik leitete den Netzwerkverkehr während eines 80-minütigen Zeitfensters von 10:20 Uhr bis 11:40 Uhr Pacific Time am Samstag über die kompromittierte Infrastruktur um.

Als der Failover-Mechanismus aktiviert wurde, übermittelten die bösartigen Knoten die Bestätigung einer legitimen Transaktion an den Verifizierer. Das Brückenprotokoll von Kelp gab daraufhin 116.500 rsETH an die Wallets der Angreifer frei. Die feindliche Software eliminierte sich dann selbst und löschte alle forensischen Beweise von den betroffenen Servern.

Kaskadierende Auswirkungen im gesamten DeFi-Ökosystem

Die gestohlenen rsETH-Token wurden als Kollateralwerte auf verschiedenen Kreditplattformen eingesetzt, was es den Angreifern ermöglichte, echte Vermögenswerte abzuheben. Aave, die dominierende dezentrale Kreditplattform, erlitt den erheblichsten Schaden.

Aave hielt illiquide rsETH-Kollateralwerte, während wertvolle Vermögenswerte wie ETH bereits durch Kreditmechanismen extrahiert worden waren. Der Native Token von Aave stürzte innerhalb eines 24-Stunden-Zeitraums um etwa 15 % ab, während das Protokoll ungefähr 6 Milliarden US-Dollar an Abhebungen verzeichnete, als die Teilnehmer sich beeilten, ihre Mittel abzuziehen.

Nicht weniger als neun DeFi-Anwendungen erlitten Schäden, darunter Fluid, Compound Finance, SparkLend und Euler. Die Cybersicherheitsfirma Cyvers charakterisierte den Vorfall als ein „Cross-Protocol-Ansteckungsereignis", das weit über die Schwachstelle einer einzelnen Plattform hinausgeht.

Mit vorläufiger Zuversicht hat LayerZero diesen Angriff mit der Lazarus-Gruppe Nordkoreas, speziell ihrer TraderTraitor-Abteilung, in Verbindung gebracht. Dieselbe Organisation war in die 285 Millionen US-Dollar schwere Drift-Protocol-Verletzung am 01.04. verwickelt, was darauf hindeutet, dass Lazarus innerhalb von 18 Tagen über 575 Millionen US-Dollar aus Dezentralisierte Finanzen mit zwei unterschiedlichen Angriffsmethoden extrahiert hat.

Anpassungen der Sicherheitsprotokolle

LayerZero meldet keine Hinweise darauf, dass sich die Schwachstelle auf Anwendungen ausgebreitet hat, die mit Multi-Verifizierer-Architekturen arbeiten. Das Unternehmen hat seinen Verifizierungsdienst wiederhergestellt und eine dauerhafte Richtlinie angekündigt, die sich weigert, Nachrichten für Anwendungen zu verarbeiten, die Einzelverifizierer-Konfigurationen verwenden.

Michael Egorov, Gründer von Curve Finance, betonte, dass diese Verletzung die inhärenten Risiken der Abhängigkeit von einzelnen Transaktionsverifizierungsquellen aufzeigt. Er warnte zusätzlich davor, Cross-Chain-Infrastruktur zu nutzen, es sei denn, dies ist betrieblich unerlässlich.

Kelp hat sich nicht zu LayerZeros Version der Ereignisse geäußert und nicht erklärt, warum das Protokoll trotz erhaltener ausdrücklicher Sicherheitswarnungen weiterhin mit einer Einzelverifizierer-Architektur betrieben wurde.

Der Beitrag 290 Millionen US-Dollar Kelp DAO-Verletzung mit Lazarus-Gruppe und schwacher Brückensicherheit verbunden erschien zuerst auf Blockonomi.