Ein 290 Millionen US-Dollar teurer Exploit auf KelpDAOs Cross-Chain-Bridge am 18. April, der von LayerZero Nordkoreas Lazarus Group zugeschrieben wird, hat Schockwellen durch DeFi gesandt und innerhalb von 48 Stunden mehr als 13 Milliarden US-Dollar an Total Value Locked (TVL) über Protokolle hinweg vernichtet.
Angreifer entwendeten am 18. April 116.500 rsETH im Wert von rund 290 Millionen US-Dollar von KelpDAOs LayerZero-gestützter Cross-Chain-Bridge, was CoinDesk als den bislang größten DeFi-Exploit des Jahres 2026 bezeichnet hat. LayerZero, dessen Infrastruktur die Bridge untermauerte, erklärte am Montag in einem Statement, dass „vorläufige Indikatoren auf die Zuschreibung zu einem hoch entwickelten staatlichen Akteur, wahrscheinlich der Lazarus Group der DVRK, hindeuten.“
Der Angriff funktionierte, indem zwei Remote Procedure Call-Knoten kompromittiert wurden, auf die LayerZeros Verifier angewiesen war, um Cross-Chain-Transaktionen zu bestätigen. Anschließend wurden Backup-Knoten mit Junk-Traffic überflutet, um ein Failover auf die manipulierten Endpunkte zu erzwingen. Sobald der Verifier eine gefälschte Transaktion abzeichnete, gab die Bridge 290 Millionen US-Dollar in rsETH an eine von den Angreifern kontrollierte Adresse frei. Die Malware zerstörte sich daraufhin selbst, löschte Binärdateien und Logs, um forensische Untersuchungen zu erschweren. Wie crypto.news berichtete, löste der Exploit allein bei Aave Abflüsse von über 10 Milliarden US-Dollar aus, wobei der Total Value Locked (TVL) des Lending-Protokolls von 45,8 Milliarden US-Dollar auf 35,7 Milliarden US-Dollar fiel, da Nutzer panisch versuchten, ihre Gelder abzuziehen. UPI berichtete, dass in den zwei Tagen nach der Sicherheitslücke mehr als 13 Milliarden US-Dollar an Total Value Locked (TVL) auf DeFi-Plattformen vernichtet wurden.
Es ist ein Streit darüber entbrannt, wer die Verantwortung für die Schwachstelle trägt, die den Angriff ermöglichte. LayerZero erklärte, KelpDAO habe sich für eine 1-von-1 dezentrale Verifier-Netzwerkkonfiguration entschieden, einen Single Point of Failure, vor dem es wiederholt gewarnt hatte, und kündigte an, keine Nachrichten mehr für Anwendungen zu signieren, die dieses Setup verwenden. KelpDAO widersprach und teilte CoinDesk mit, dass seine Konfiguration den von LayerZero selbst dokumentierten Standardeinstellungen entsprach und der kompromittierte Validator Teil von LayerZeros eigener Infrastruktur war. Wie crypto.news dokumentierte, fanden unabhängige Sicherheitsforscher, darunter ein Yearn Finance-Entwickler, heraus, dass LayerZeros öffentlicher Bereitstellungscode standardmäßig Single-Source-Verifizierung über jede größere Chain hinweg liefert, was die Behauptung des Unternehmens, KelpDAO habe von den Richtlinien abgewichen, untergräbt.
Der KelpDAO-Exploit ist der zweite große DeFi-Angriff, der allein im April mit Lazarus in Verbindung gebracht wird, nach dem 285 Millionen US-Dollar schweren Drift Protocol-Angriff am 1. April, wodurch die gesamte DeFi-Beute der Gruppe für diesen Monat über 575 Millionen US-Dollar beträgt. Der Angreifer hat inzwischen begonnen, die gestohlenen Gelder zu waschen, indem er Assets über Arbitrum in Tron-basierte Stablecoins umleitet, wie crypto.news verfolgt hat. Jefferies hat gewarnt, dass solche prominenten Hacks das Interesse der Wall Street an Tokenisierungsprojekten vorübergehend bremsen könnten, da Institutionen die Sicherheitsrisiken in der DeFi-Bridge-Infrastruktur neu bewerten. LayerZero erklärte, dass es keine Ansteckung auf andere Anwendungen mit Multi-Verifier-Konfigurationen festgestellt hat, aber eine protokollweite Migration weg von Single-Validator-Setups erzwungen hat.
LayerZero erklärte, es arbeite mit KelpDAO, der Security Alliance und Strafverfolgungsbehörden zusammen, um die gestohlenen Gelder zu verfolgen, obwohl der Einsatz von Privacy Tools durch den Angreifer die Wiederherstellungsbemühungen erheblich erschwert hat.
