LayerZero hat seine wichtigsten Erkenntnisse zum Kelp DAO Exploit veröffentlicht und den Vorfall nordkoreanischen Cyberakteuren zugeschrieben.
Am 18. April verlor die von LayerZero betriebene Cross-Chain-Brücke Kelp DAO 116.500 rsETH-Token im Wert von rund 292 Millionen US-Dollar, was sie zum größten DeFi-Exploit dieses Jahres macht.
"Vorläufige Indikatoren deuten auf die Zuschreibung zu einem hoch entwickelten staatlichen Akteur hin, wahrscheinlich der Lazarus Group der DVRK, genauer gesagt TraderTraitor", schrieb LayerZero in seiner neuesten Erklärung.
LayerZero erklärte, dass der Angreifer Zugang zur Liste der RPC-Nodes erhielt, die vom dezentralen verifizierten Netzwerk (DVN) von LayerZero Labs verwendet werden, welche unabhängige Entitäten sind, die die Cross-Chain-Nachrichten verifizieren.
Der Angreifer manipulierte dann zwei dieser RPC-Nodes, wodurch diese eine gefälschte Cross-Chain-Nachricht an das DVN übermittelten. Der Angreifer startete einen DDoS-Angriff auf die sauberen Nodes, um das DVN dazu zu bringen, sich auf die manipulierten Nodes zu verlassen.
Da Kelp DAO eine einzige 1-von-1-DVN-Konfiguration ohne Redundanz verwendete, wurde die gefälschte Nachricht akzeptiert, wodurch die Brücke den Token freigeben konnte. LayerZero machte Kelp DAO dafür verantwortlich, sich für den Betrieb mit einer Single-DVN-Konfiguration entschieden zu haben.
"Der Betrieb einer Konfiguration mit einem einzigen Fehlerpunkt bedeutete, dass es keinen unabhängigen Verifizierer gab, der eine gefälschte Nachricht hätte erkennen und ablehnen können", heißt es in der Erklärung. "LayerZero und andere externe Parteien hatten KelpDAO zuvor Best Practices zur DVN-Diversifizierung mitgeteilt. Trotz dieser Empfehlungen entschied sich KelpDAO für die Nutzung einer 1/1 DVN-Konfiguration."
Unterdessen versicherte die Erklärung, dass es "keine Ansteckung" für andere Assets oder Anwendungen gebe.
LayerZero schrieb, dass das DVN von LayerZero Labs betriebsbereit ist und dass alle Anwendungen unter einer Multi-DVN-Konfiguration zuversichtlich sein sollten, den Betrieb wieder aufzunehmen. Zukünftig wird LayerZero keine Nachrichten von Apps signieren, die eine 1/1 DVN-Konfiguration verwenden, heißt es in der Erklärung.
LayerZero arbeitet mit mehreren Strafverfolgungsbehörden zusammen, um die Angelegenheit weiter zu untersuchen, und verfolgt aktiv die gestohlenen Gelder, hieß es weiter.
Der Angriff auf Kelp DAO am 18. April hat eine Kettenreaktion im gesamten Sektor ausgelöst, die eine Welle von Abhebungen von Aave und Notfallpausen bei mehreren Protokollen zur Folge hatte.
Der böswillige Akteur verschob die gestohlenen Token zu Aave V3, wo der Angreifer rsETH als Sicherheit verwendete, um erhebliche Mengen an WETH zu leihen, was Berichten zufolge zu uneinbringlichen Forderungen (Bad Debt) auf Aave führte. Als Reaktion darauf fror das Protokoll die rsETH-Märkte auf V3 und V4 ein, um das Risiko einzudämmen.
"RsETH wurde auf Aave V3 und V4 eingefroren, das Asset besitzt keine Kreditaufnahmefähigkeit als Maßnahme aufgrund des KelpDAO-Bridge-Exploits, der außerhalb von Aave stattfand", schrieb Aave-Gründer Stani Kulechov auf X. "Sowohl Aave V3 als auch V4 haben keine weitere Exposition gegenüber rsETH."
Trotz Aaves schnellem Handeln verzeichnete die Plattform einen erheblichen Abfluss von Geldern.
Laut historischen Daten von Aavescan sind seit dem Kelp DAO Exploit über 10 Milliarden US-Dollar an Geldern aus Aave abgeflossen, wobei das insgesamt bereitgestellte Volumen von 45,8 Milliarden US-Dollar vor dem Angriff auf 35,7 Milliarden US-Dollar sank.
Marc Zeller, der Gründer der Aave Chan Initiative und eine prominente Persönlichkeit im Aave-Ökosystem, forderte die Plattformnutzer auf, WETH schnell aus dem Protokoll abzuheben, und schrieb: "Jetzt abheben, Fragen später stellen."
Unterdessen ging Aave auf die anhaltenden Bedenken ein, indem es erklärte, dass es Wege prüfen werde, das Defizit auszugleichen, falls das Protokoll uneinbringliche Forderungen ansammelt.
Der Kelp DAO Exploit hat Dutzende von DeFi-Protokollen veranlasst, ihre LayerZero OFT (omnichain fungible token)-Brücken vorsorglich einzufrieren. Dazu gehören große Protokolle wie Ethena, ether.fi, Tron DAO, Curve Finance und viele andere.
DefiLlama-Daten zeigen, dass der in DeFi gesperrte Gesamtwert (TVL) in den letzten 24 Stunden um 7 % gesunken ist. Der DeFi-TVL liegt derzeit bei rund 86,3 Milliarden US-Dollar, ein Rückgang von 99,5 Milliarden US-Dollar am 18. April.
"Der Kelp DAO Exploit ist ein weiteres Spiegelbild struktureller Schwachstellen in DeFi, insbesondere in der Cross-Chain-Infrastruktur und der Ironie, wie konzentriert kritische Sicherheitsschichten sind", sagte Min Jung, assoziierter Forscher bei Presto Research. "Aus Vertrauensperspektive ist der Zeitpunkt, nach Vorfällen wie Drift, schädlich, da Nutzer zunehmend hinterfragen, ob niedrige Renditen das Risiko von Exploits rechtfertigen."
Der Forscher teilte The Block mit, dass die Reihe großer Exploits in DeFi wahrscheinlich eine Verlagerung hin zu einem strengeren Risikomanagement und einem verbesserten architektonischen Design beschleunigen wird.
Haftungsausschluss: The Block ist ein unabhängiges Medienunternehmen, das Nachrichten, Recherchen und Daten liefert. Seit November 2023 ist Foresight Ventures Mehrheitsinvestor von The Block. Foresight Ventures investiert in andere Unternehmen im Krypto-Bereich. Die Krypto-Börse Bitget ist ein Anker-LP für Foresight Ventures. The Block arbeitet weiterhin unabhängig, um objektive, wirkungsvolle und zeitnahe Informationen über die Krypto-Branche zu liefern. Hier sind unsere aktuellen finanziellen Offenlegungen.
© 2026 The Block. Alle Rechte vorbehalten. Dieser Artikel dient ausschließlich zu Informationszwecken. Er wird nicht als Rechts-, Steuer-, Anlage-, Finanz- oder sonstige Beratung angeboten oder ist dazu bestimmt, als solche verwendet zu werden.
