$290M Kelp DAO-inbreuk gekoppeld aan Lazarus Group en zwakke bridge-beveiliging

Belangrijkste Punten

• Ongeveer $290–293 miljoen werd gestolen van Kelp DAO na een geavanceerde aanval op RPC-knooppunten verbonden met LayerZero's verificatiesysteem
• Kelp DAO zou LayerZero's beveiligingsaanbevelingen om meerdere verificateurs te implementeren genegeerd hebben en opereerde met slechts één verificateur
• Voorlopig bewijs wijst naar Noord-Korea's Lazarus Group als daders achter deze beveiligingsbreuk
• Negen DeFi-platforms, met name Aave, ondervonden cascade-schade, waarbij Aave's totale vergrendelde waarde daalde met $6 miljard
• Voortaan heeft LayerZero aangekondigd dat het zal weigeren applicaties te ondersteunen die met configuraties met één verificateur werken

In wat een van de meest significante gedecentraliseerde financiële beveiligingsbreuken van 2026 vertegenwoordigt, leed Kelp DAO verliezen van in totaal ongeveer $290–293 miljoen tijdens een aanval in het weekend. LayerZero, het cross-chain berichtenprotocol dat bij het incident gebruikt werd, heeft de kwetsbaarheid toegeschreven aan Kelp's infrastructuurbeslissingen.

De breuk richtte zich op Kelp's rsETH token-overdrachtsmechanisme over verschillende blockchainnetwerken. Het werken met een architectuur met één verificateur betekende dat slechts één autoriteit cross-chain overdrachten hoefde te valideren. Volgens LayerZero had het bedrijf Kelp expliciet gewaarschuwd voor deze configuratie en aangedrongen op de adoptie van meerdere onafhankelijke verificatiebronnen.

De hackers infiltreerden twee remote procedure call-knooppunten—gespecialiseerde servers die software in staat stellen te interageren met blockchaingegevens. Deze legitieme knooppunten werden vervangen door gecompromitteerde versies die frauduleuze informatie leverden aan LayerZero's verificatiesysteem, terwijl ze een normale verschijning behielden voor andere infrastructuurcomponenten.

Aangezien LayerZero's verificatieproces ook legitieme externe knooppunten raadpleegde, lanceerden de aanvallers een gedistribueerde denial-of-service-campagne om die systemen uit te schakelen. Deze tactiek leidde netwerkverkeer om door de gecompromitteerde infrastructuur tijdens een venster van 80 minuten van 10:20 uur tot 11:40 uur Pacific Time op zaterdag.

Toen het failover-mechanisme werd geactiveerd, zonden de kwaadaardige knooppunten bevestiging van een legitieme transactie naar de verificateur. Kelp's bridge-protocol gaf vervolgens 116.500 rsETH vrij aan de wallets van de aanvallers. De vijandige software elimineerde zichzelf vervolgens en wiste al het forensisch bewijs van de getroffen servers.

Cascade-Impact Door Heel het DeFi-Ecosysteem

De gestolen rsETH-tokens werden ingezet als onderpand op verschillende leenplatforms, waardoor de aanvallers echte activa konden opnemen. Aave, het dominante gedecentraliseerde leenplatform, absorbeerde de meest substantiële schade.

Aave bevond zich in de positie dat het illiquide rsETH-onderpand hield, terwijl waardevolle activa zoals ETH al waren onttrokken via leenmechanismen. Aave's native token daalde ongeveer 15% binnen een periode van 24 uur, terwijl het protocol ongeveer $6 miljard aan opnames ervoer toen deelnemers zich haastten om hun fondsen te verwijderen.

Niet minder dan negen DeFi-applicaties ondervonden schade, waaronder Fluid, Compound Finance, SparkLend en Euler. Cybersecuritybedrijf Cyvers karakteriseerde het incident als een "cross-protocol besmettingsevenement" dat veel verder reikte dan de kwetsbaarheid van een enkel platform.

Met voorlopig vertrouwen heeft LayerZero deze aanval verbonden aan Noord-Korea's Lazarus Group, specifiek zijn TraderTraitor-divisie. Dezelfde organisatie was betrokken bij de $285 miljoen Drift Protocol-breuk op 1 april, wat erop wijst dat Lazarus meer dan $575 miljoen uit gedecentraliseerde financiën heeft onttrokken binnen een periode van 18 dagen met twee verschillende aanvalsmethodologieën.

Aanpassingen van Beveiligingsprotocol

LayerZero rapporteert geen bewijs van kwetsbaarheid die zich verspreidt naar applicaties die werken met multi-verificateur-architecturen. Het bedrijf heeft zijn verificatieservice hersteld en een permanent beleid aangekondigd waarbij het weigert berichten te verwerken voor elke applicatie die configuraties met één verificateur gebruikt.

Curve Finance-oprichter Michael Egorov benadrukte dat deze breuk de inherente risico's aantoont van het vertrouwen op solitaire bronnen voor transactieverificatie. Hij waarschuwde ook tegen het gebruik van cross-chain infrastructuur, tenzij operationeel essentieel.

Kelp is stil gebleven over LayerZero's versie van de gebeurtenissen en heeft niet aangegeven waarom het protocol bleef werken met een architectuur met één verificateur ondanks het ontvangen van expliciete beveiligingswaarschuwingen.

Het bericht $290M Kelp DAO Breach Tied to Lazarus Group and Weak Bridge Security verscheen het eerst op Blockonomi.