Kelp-DAO-Verstoß im Wert von 290 Millionen US-Dollar im Zusammenhang mit der Lazarus Group und Weak Bridge Security

Inhaltsverzeichnis Bei einem der größten Sicherheitsverstöße im dezentralen Finanzwesen im Jahr 2026 erlitt Kelp DAO bei einem Wochenendangriff Verluste in Höhe von insgesamt etwa 290 bis 293 Millionen US-Dollar. LayerZero, das bei dem Vorfall verwendete kettenübergreifende Messaging-Protokoll, hat die Schwachstelle auf die Infrastrukturentscheidungen von Kelp zurückgeführt. Heute haben wir verdächtige kettenübergreifende Aktivitäten im Zusammenhang mit rsETH festgestellt. Während wir Nachforschungen anstellen, haben wir rsETH-Verträge im gesamten Mainnet und mehreren L2s pausiert. Wir arbeiten mit @LayerZero_Core, @unichain, unseren Prüfern und Top-Sicherheitsexperten für RCA zusammen. Wir halten Sie auf dem Laufenden… – Kelp (@KelpDAO) 18. April 2026 Der Verstoß konzentrierte sich auf den rsETH-Token-Übertragungsmechanismus von Kelp über verschiedene Blockchain-Netzwerke. Der Betrieb mit einer Single-Verifier-Architektur bedeutete, dass nur eine Autorität zur Validierung kettenübergreifender Übertragungen erforderlich war. Laut LayerZero hatte das Unternehmen Kelp ausdrücklich vor dieser Konfiguration gewarnt und die Einführung mehrerer unabhängiger Verifizierungsquellen gefordert. LayerZero: KelpDAO verliert etwa 290 Millionen US-Dollar durch Exploit, der der Lazarus Group der DVRK zugeschrieben wird LayerZero berichtete, dass KelpDAO am 18. April 2026 einen Exploit erlitt, der zu Verlusten von etwa 290 Millionen US-Dollar führte, der vorläufig der Lazarus Group der DVRK (TraderTraitor) zugeschrieben wurde. Der Angriff vergiftete… pic.twitter.com/mfhQRaC2p9 – Wu Blockchain (@WuBlockchain) 20. April 2026 Die Hacker infiltrierten zwei Remote-Procedure-Call-Knoten – spezialisierte Server, die es Software ermöglichen, mit Blockchain-Daten zu interagieren. Diese legitimen Knoten wurden durch kompromittierte Versionen ersetzt, die betrügerische Informationen an das Verifizierungssystem von LayerZero lieferten, während sie für andere Infrastrukturkomponenten das normale Erscheinungsbild beibehielten. Da der Verifizierungsprozess von LayerZero auch legitime externe Knoten konsultierte, starteten die Angreifer eine verteilte Denial-of-Service-Kampagne, um diese Systeme zu deaktivieren. Diese Taktik leitete den Netzwerkverkehr am Samstag während eines 80-minütigen Zeitfensters von 10:20 Uhr bis 11:40 Uhr pazifischer Zeit über die kompromittierte Infrastruktur um. Wenn der Failover-Mechanismus aktiviert wurde, übermittelten die böswilligen Knoten eine Bestätigung einer legitimen Transaktion an den Verifizierer. Das Bridge-Protokoll von Kelp gab daraufhin 116.500 rsETH an die Wallets der Angreifer weiter. Anschließend eliminierte sich die feindliche Software selbst und löschte alle forensischen Beweise von den betroffenen Servern. Die gestohlenen rsETH-Token wurden als Sicherheit auf verschiedenen Kreditplattformen eingesetzt und ermöglichten es den Angreifern, echte Vermögenswerte abzuheben. Aave, die dominierende dezentrale Kreditplattform, musste den größten Schaden absorbieren. Aave hielt illiquide rsETH-Sicherheiten, während wertvolle Vermögenswerte wie ETH bereits durch Kreditmechanismen abgezogen worden waren. Der native Token von Aave stürzte innerhalb von 24 Stunden um etwa 15 % ab, während das Protokoll etwa 6 Milliarden US-Dollar an Abhebungen verzeichnete, da die Teilnehmer sich bemühten, ihre Gelder abzuheben. Nicht weniger als neun DeFi-Anwendungen wurden beschädigt, darunter Fluid, Compound Finance, SparkLend und Euler. Das Cybersicherheitsunternehmen Cyvers bezeichnete den Vorfall als „protokollübergreifendes Ansteckungsereignis“, das weit über eine einzelne Plattformschwachstelle hinausgeht. Mit vorläufiger Überzeugung hat LayerZero diesen Angriff mit der nordkoreanischen Lazarus-Gruppe, insbesondere ihrer TraderTraitor-Abteilung, in Verbindung gebracht. Dieselbe Organisation war am 1. April in den Verstoß gegen das Drift-Protokoll in Höhe von 285 Millionen US-Dollar verwickelt, was darauf hindeutet, dass Lazarus innerhalb von 18 Tagen mithilfe zweier unterschiedlicher Angriffsmethoden über 575 Millionen US-Dollar aus der dezentralen Finanzierung abgezogen hat. LayerZero meldet keine Hinweise auf eine Ausbreitung der Schwachstelle auf Anwendungen, die mit Multi-Verifier-Architekturen arbeiten. Das Unternehmen hat seinen Verifizierungsdienst wiederhergestellt und eine dauerhafte Richtlinie angekündigt, die die Verarbeitung von Nachrichten für alle Anwendungen verweigert, die Einzelverifiziererkonfigurationen verwenden. Michael Egorov, Gründer von Curve Finance, betonte, dass dieser Verstoß die inhärenten Risiken verdeutliche, wenn man sich auf einzelne Quellen zur Transaktionsüberprüfung verlässt. Er warnte außerdem davor, eine kettenübergreifende Infrastruktur zu nutzen, es sei denn, dies sei betriebsnotwendig. Laut Charles Guillemet, CTO von Ledger, wird 2026 „höchstwahrscheinlich das schlimmste Jahr in Bezug auf Hacks“ sein. Die Verluste durch Sicherheitsverletzungen im Zusammenhang mit Kryptowährungen beliefen sich im ersten Quartal 2026 bereits auf über 482 Millionen US-Dollar. Kelp hat sich zu LayerZeros Version der Ereignisse nicht geäußert und nicht darauf eingegangen, warum das Protokoll weiterhin mit einer Single-Verifier-Architektur operierte, obwohl es explizite Sicherheitswarnungen erhalten hatte.