Nordkoreanische Cyber-Agenten erbeuten fast 300 Millionen US-Dollar bei einem kettenübergreifenden Raubüberfall auf das LayerZero-Protokoll von KelpDAO
Wichtige Fakten Der Verstoß, der die KelpDAO-Cross-Chain-Brücke am 18. April 2026 geleert hat, begann sechs Wochen zuvor. Am 6. März klonte ein LayerZero Labs-Entwickler ein bösartiges GitHub-Repository und installierte FLATROOF- und ROOFDECK-Malware auf einem Unternehmensgerät. Die Malware ermöglichte Angreifern Fernzugriff und erlaubte ihnen, Sitzungsschlüssel für die RPC-Infrastruktur (Remote Procedure Call) von LayerZero zu sammeln.
Die Cybersicherheitsfirmen Mandiant und CrowdStrike führten den Angriff mit hoher Wahrscheinlichkeit auf UNC4899 zurück, auch bekannt als TraderTraitor – eine mit dem nordkoreanischen Staat verbundene Bedrohungsgruppe. Laut dem am 18. Mai 2026 veröffentlichten Abschlussbericht von LayerZero belief sich der gestohlene Gesamtwert zu Marktpreisen am Tag des Verstoßes auf 292 Millionen US-Dollar.
Eine gefälschte Cross-Chain-Nachricht gab 116.500 rsETH frei, nachdem ein einzelner Verifier-Knoten kompromittiert wurde. Die Architektur von LayerZero basiert auf dezentralen Verifier-Netzwerken (DVNs), um zu bestätigen, dass Cross-Chain-Nachrichten legitim sind, bevor Bridge-Verträge Gelder freigeben. Am 18. April schleusten Angreifer Schadcode in zwei der internen RPC-Servercluster von LayerZero ein. Der eingeschleuste Code führte dazu, dass diese Server einen gefälschten Blockchain-Status an den DVN-Signaturdienst zurückgaben, während sie für Überwachungstools normal aussahen.
Gleichzeitig starteten die Angreifer einen verteilten Denial-of-Service-Angriff gegen den externen RPC-Anbieter von LayerZero. Dadurch war der DVN gezwungen, ausschließlich auf die beiden kompromittierten internen Knoten zurückzugreifen. Der DVN legte eine gültige Bescheinigung für eine gefälschte Cross-Chain-Nachricht vor und der Ethereum-Brückenvertrag gab 116.500 rsETH – KelpDAOs flüssiges Restaking-Token – an die Adresse des Angreifers frei. Keine andere Anwendung im LayerZero-Netzwerk war betroffen.
LayerZero gibt zu, dass es versäumt hat, zu überwachen, wie sein eigener Verifizierer hochwertige Übertragungen sicherte. Die KelpDAO-Brücke hatte zuvor mit zwei DVNs gearbeitet, die zur Beglaubigung jeder Nachricht erforderlich waren – eine 2-aus-2-Konfiguration. Es wurde dahingehend geändert, dass nur noch ein Verifizierer, der LayerZero Labs DVN selbst, erforderlich ist, wodurch ein Single Point of Failure entsteht. LayerZero führte die Verantwortung zunächst auf die Konfigurationsauswahl von KelpDAO zurück. Diese Position wurde am 8. Mai 2026 umgekehrt.
„Wir haben einen Fehler gemacht, als wir zugelassen haben, dass unser DVN als 1/1-DVN für Transaktionen mit hohem Wert fungiert. Wir haben nicht überwacht, was unser DVN absicherte, was ein Risiko darstellte, das wir einfach nicht sahen. Das gehört uns.“, 8. Mai 2026.
— LayerZero Labs
Nach der Zulassung gab LayerZero an, dass sein DVN keine Bescheinigungen mehr für Anwendungen signieren werde, die eine 1-von-1-Konfiguration verwenden. Die Protokollstandards für alle Pfade wurden auf ein Minimum von 3 von 3 Verifizierern angehoben.
Solv Protocol verlagert 700 Millionen US-Dollar an tokenisierter Bitcoin-Bridge-Infrastruktur von LayerZeroSolv Protocol, das tokenisierte Bitcoin-Produkte verwaltet, kündigte nach einer Sicherheitsüberprüfung an, über 700 Millionen US-Dollar an Bridge-Infrastruktur von LayerZero zu migrieren. Kelp hat außerdem seine rsETH-Brücke vom Omnichain Fungible Token-Standard von LayerZero auf ein alternatives Cross-Chain-Protokoll migriert. Beide Ankündigungen folgten der öffentlichen Offenlegung des Exploits und dem Schuldeingeständnis von LayerZero.
Die Sicherheitsstandards der DeFi-Brücke stehen auf dem Prüfstand, da Ethereum die Auswirkungen auffangen muss. Ethereum wurde zum Zeitpunkt der Veröffentlichung bei 1.980 $ gehandelt, was einem Rückgang von 5,5 % in den letzten sieben Tagen entspricht (CoinPaprika, 2. Juni 2026). Das breitere Ethereum-DeFi-Ökosystem beherbergt den Großteil der Cross-Chain-Bridge-Infrastruktur nach Gesamtwert der Sperrung und bewertet nach dem Vorfall die Sicherheitsannahmen neu.
Der KelpDAO-Verstoß legte ein Risiko offen, das über LayerZero allein hinausgeht. Jede Brücke, die sich auf einen einzigen Verifizierer verlässt, um hochwertige kettenübergreifende Nachrichten zu bestätigen, weist eine gleichwertige strukturelle Gefährdung auf. Der Arbitrum-Sicherheitsrat hat am 20. April 2026 30.766 ETH in mit dem Angreifer in Verbindung stehenden nachgelagerten Geldern eingefroren, was die breiteren Auswirkungen des Verstoßes auf den Markt teilweise einschränkte.
Primärquelle: LayerZero Labs – An Overdue Apology, 8. Mai 2026. Die Cybersicherheitsfirmen Mandiant und CrowdStrike führten den Angriff mit hoher Wahrscheinlichkeit UNC4899 zu, auch bekannt als TraderTraitor – einer mit dem nordkoreanischen Staat verbundenen Bedrohungsgruppe. Laut dem letzten Vorfall von LayerZero belief sich der Gesamtbetrag der gestohlenen Daten zu Marktpreisen am Tag des Verstoßes auf 292 Millionen US-Dollar