Kelp DAO gab am Montag eine Erklärung ab, in der es seine direkte Verantwortung für den 292 Millionen Dollar umfassenden Exploit vom Wochenende herunterspielte.
Am 18. April verlor die von LayerZero betriebene Cross-Chain-Bridge Kelp DAO 116.500 rsETH-Token im Wert von rund 292 Millionen Dollar, was sie zum bisher größten DeFi-Exploit dieses Jahres macht.
LayerZero berichtete am Sonntag, dass der Angreifer, wahrscheinlich Nordkoreas Lazarus Group, Zugang zur Liste der RPC-Nodes erhielt, die vom dezentralen verifizierten Netzwerk (DVN) von LayerZero Labs verwendet werden. Der Angreifer vergiftete daraufhin zwei RPC-Nodes und startete einen DDoS-Angriff, um das DVN dazu zu bringen, eine gefälschte Cross-Chain-Nachricht zu akzeptieren, was dazu führte, dass es eine illegitime Transaktion signierte.
In seinem Bericht kritisierte LayerZero die 1-zu-1-DVN-Konfiguration von Kelp DAO und bemerkte, dass diese einen Single Point of Failure darstellte, da die unabhängige Verifizierung fehlte, die notwendig gewesen wäre, um die betrügerische Cross-Chain-Nachricht abzufangen.
"LayerZero und andere externe Parteien hatten Kelp DAO zuvor Best Practices zur DVN-Diversifizierung mitgeteilt", so der Bericht. "Trotz dieser Empfehlungen entschied sich Kelp DAO für eine 1/1 DVN-Konfiguration."
Die jüngste Erklärung von Kelp DAO reagierte auf LayerZeros Anschuldigung und verlagerte die Verantwortung für das 1-zu-1-DVN-Setup auf LayerZero.
"Das 1-zu-1-DVN-Setup ist die in LayerZeros Dokumentation dokumentierte Konfiguration und wird standardmäßig für jede neue OFT-Implementierung ausgeliefert", schrieb Kelp in seiner Erklärung auf X. "Kelp ist seit Januar 2024 auf der LayerZero-Infrastruktur tätig und hat währenddessen einen offenen Kommunikationskanal mit dem LayerZero-Team aufrechterhalten."
Kelp fügte hinzu, dass das Thema der DVN-Konfiguration während seiner Expansion auf L2 aufkam und das Standard-Setup zu diesem Zeitpunkt "eindeutig als angemessen bestätigt" wurde.
"Eine gemeinsame und genaue Darstellung dessen, was passiert ist, ist die Grundlage dafür, gemeinsam die richtigen Korrekturen vorzunehmen", so Kelp.
Die Cross-Chain-Bridge erklärte außerdem, dass ihre erste Reaktion – einschließlich des Pausierens relevanter Verträge und des Blacklistings von Wallets, die mit dem Angreifer verbunden sind – dazu beigetragen habe, die Situation einzudämmen. Sie fügte hinzu, dass sie die nächsten Schritte zur Wiederaufnahme des Protokolls prüft.
Unterdessen breitete sich die Auswirkung des Angriffs schnell auf das Aave-Protokoll aus, da der Exploiter einen erheblichen Teil der gestohlenen Vermögenswerte in Aave V3 einzahlte. Der Angreifer nutzte rsETH als Sicherheit, um erhebliche Mengen WETH zu leihen, was das Risiko uneinbringlicher Forderungen im Protokoll erhöhte.
Aaves jüngster Vorfallbericht besagt, dass der Angreifer 89.567 rsETH (im Wert von rund 221 Millionen Dollar) als Sicherheit bereitstellte und 82.650 WETH sowie 821 wstETH lieh, wodurch die Positionen sehr niedrige Gesundheitsfaktoren aufwiesen.
Das Protokoll hat zwei hypothetische Szenarien für uneinbringliche Forderungen auf der Grundlage verfügbarer Daten dargelegt, da Kelp noch keinen Plan zur Verlustzuweisung oder -erholung offiziell bekannt gegeben hat.
Das erste Szenario beschreibt eine gleichmäßige Sozialisierung der Verluste, wobei davon ausgegangen wird, dass etwa 112.204 rsETH das Angebot über alle Chains hinweg gleichmäßig verwässern. Dies würde zu einem Depeg von 15,12 % und zu rund 123,7 Millionen Dollar an uneinbringlichen Forderungen für Aave führen.
"Ethereum Core absorbiert den größten absoluten Verlust (91,8 Mio. $), aber seine WETH-Reserve ist tief genug, sodass der Engpass bei 1,54 % bleibt", schrieb Aave. "Mantle, mit der kleinsten WETH-Reserve im Verhältnis zu seinem rsETH-Engagement, erleidet einen Engpass von 9,54 %, den höchsten proportionalen Einfluss in diesem Szenario."
Das zweite Szenario geht davon aus, dass die Verluste auf L2 rsETH beschränkt sind, wodurch Ethereum Mainnet rsETH vollständig gedeckt bleibt. In diesem Fall würde ein Haircut von 73,54 % auf L2-Sicherheiten angewendet. Dies würde zu höheren uneinbringlichen Forderungen von 230,1 Millionen Dollar über L2-Märkte wie Mantle, Arbitrum und Bases WETH-Märkte führen.
Im ersten Szenario könnte Aaves WETH Umbrella, das 54 Millionen Dollar hält, als anfänglicher Schutz dienen. Das Umbrella würde im zweiten Szenario nicht ausgelöst werden.
"Welches Szenario eintritt, hängt von Entscheidungen außerhalb der Kontrolle von Aave ab, hauptsächlich davon, wie die rsETH-Buchführung und der LRTOracle-Wechselkurs aktualisiert werden", so Aave.
Darüber hinaus sagte Aave, dass die Aave DAO eine starke Bilanz mit Vermögenswerten von 181 Millionen Dollar aufweist und dass sie mehrere Zusagen von Ökosystemteilnehmern erhalten hat, das Protokoll im Falle uneinbringlicher Forderungen zu unterstützen.
Haftungsausschluss: The Block ist ein unabhängiges Medienunternehmen, das Nachrichten, Recherchen und Daten liefert. Seit November 2023 ist Foresight Ventures Mehrheitsinvestor von The Block. Foresight Ventures investiert in andere Unternehmen im Kryptobereich. Die Krypto-Börse Bitget ist ein Anker-LP für Foresight Ventures. The Block arbeitet weiterhin unabhängig, um objektive, wirkungsvolle und zeitnahe Informationen über die Kryptoindustrie zu liefern. Hier sind unsere aktuellen finanziellen Offenlegungen.
© 2026 The Block. Alle Rechte vorbehalten. Dieser Artikel dient ausschließlich zu Informationszwecken. Er wird nicht als Rechts-, Steuer-, Anlage-, Finanz- oder sonstige Beratung angeboten oder ist dazu bestimmt, als solche verwendet zu werden.
