Der Exploit, bei dem am Wochenende rund 292 Millionen US-Dollar von KelpDAOs Cross-Chain-Bridge abgezogen wurden, war „wahrscheinlich“ das Werk der nordkoreanischen Lazarus Group, insbesondere ihrer Untereinheit TraderTraitor, so LayerZero in einer vorläufigen Analyse am Montag.
Angreifer entwendeten am Samstag 116.500 rsETH, einen liquiden Restaking-Token, der durch gestaktes Ether gedeckt ist, von der KelpDAO-Bridge. Dies löste Abhebungen im dezentralen Finanzsektor aus, die mehr als 10 Milliarden US-Dollar aus dem Lending-Protokoll Aave abzogen.
Der Angriff trug die Merkmale „eines hoch entwickelten staatlichen Akteurs, wahrscheinlich der Lazarus Group der DVRK“, so LayerZero, das die Untereinheit TraderTraitor der Gruppe nannte.
Nordkoreas Cyberoperationen werden vom Aufklärungsgeneralkorps (Reconnaissance General Bureau) durchgeführt, das laut einer Analyse des Paradigm-Forschers Samczsun mehrere eigenständige Einheiten beherbergt, darunter TraderTraitor, AppleJeus, APT38 und DangerousPassword.
https://t.co/3vIHs3Xgs4
— LayerZero (@LayerZero_Core) April 20, 2026
Unter diesen Untereinheiten wurde TraderTraitor als der raffinierteste DPRK-Akteur identifiziert, der auf Krypto abzielt, und war zuvor mit den Kompromittierungen der Axie Infinity Ronin Bridge und WazirX in Verbindung gebracht worden.
LayerZero erklärte, dass KelpDAO einen einzigen Verifizierer verwendet hatte, um Überweisungen in und aus der Bridge zu genehmigen, und fügte hinzu, dass es KelpDAO wiederholt aufgefordert hatte, stattdessen mehrere Verifizierer zu verwenden.
Für die Zukunft kündigte LayerZero an, keine Nachrichten mehr für Anwendungen zu genehmigen, die noch diese Konfiguration verwenden.
Beobachter sagen, der Exploit habe offengelegt, wie die Bridge darauf ausgelegt war, einem einzigen Verifizierer zu vertrauen.
Es war „ein einziger Fehlerpunkt, egal wie das Marketing es nennt“, sagte Shalev Keren, Mitbegründer der kryptografischen Sicherheitsfirma Sodot, gegenüber Decrypt.
Ein einziger kompromittierter Kontrollpunkt reichte aus, um die Gelder von der Bridge abfließen zu lassen, und kein Audit oder keine Sicherheitsüberprüfung hätte diesen Fehler beheben können, ohne „das unilaterale Vertrauen aus der Architektur selbst zu entfernen“, so Keren.
Diese Ansicht wurde von Haoze Qiu, Blockchain Lead bei Grvt, geteilt, der argumentierte: „Kelp DAO scheint ein Bridge-Sicherheits-Setup mit zu wenig Redundanz für ein Asset dieser Größenordnung akzeptiert zu haben“, und fügte hinzu, dass LayerZero „auch zur Rechenschaft gezogen werden muss“, da „die Kompromittierung Infrastruktur betraf, die mit seinem Validator-Stack verbunden ist, auch wenn dies nicht als Kernprotokollfehler beschrieben wurde.“
Die Angreifer waren nur drei Minuten davon entfernt, weitere 100 Millionen US-Dollar abzuziehen, bevor eine schnelle Blacklist sie stoppte, so eine Analyse der Blockchain-Sicherheitsfirma Cyvers. Die Operation basierte darauf, einen einzigen Kommunikationskanal zu täuschen, sagte Cyvers CTO Meir Dolev gegenüber Decrypt.
Angreifer nutzten zwei der Leitungen, die der Verifizierer zur Überprüfung einer tatsächlichen Abhebung auf Unichain verwendete, fütterten sie mit einem falschen „Ja“ auf diesen Leitungen und schalteten dann die verbleibenden Leitungen offline, um den Verifizierer zu zwingen, sich auf die kompromittierten zu verlassen.
„Das Vault war in Ordnung. Der Wächter war ehrlich. Der Türmechanismus funktionierte einwandfrei“, sagte Dolev. „Die Lüge wurde direkt der einen Partei zugeflüstert, deren Wort die Tür öffnete.“
Doch während LayerZero, dessen Infrastruktur die geleerte Bridge antrieb, Lazarus als den wahrscheinlichen Schuldigen benannte, unterließ Cyvers in seiner eigenen Analyse dieselbe Zuschreibung.
Einige Muster stimmen mit DPRK-gebundenen Operationen in Bezug auf Raffinesse, Umfang und koordinierte Ausführung überein, sagte Dolev, aber es wurde keine Wallet-Zusammenfassung bestätigt, die mit der Gruppe verbunden ist.
Die bösartige Knoten-Software wurde so konzipiert, dass sie sich nach Abschluss des Angriffs selbst löschte und Binärdateien sowie Protokolle entfernte, um die Spuren der Angreifer in Echtzeit und bei der Post-Mortem-Analyse zu verwischen, fügte er hinzu.
Anfang dieses Monats entwendeten Angreifer rund 285 Millionen US-Dollar vom Solana-basierten Perpetuals-Protokoll Drift, in einem Exploit, der später nordkoreanischen Operativen zugeschrieben wurde.
Dolev bemerkte, dass der Drift-Hack „sehr unterschiedlich in Bezug auf Vorbereitung und Ausführung“ war, aber beide Angriffe erforderten lange Vorlaufzeiten, tiefgreifendes Fachwissen und erhebliche Ressourcen, um sie durchzuführen.
Cyvers vermutet, dass die gestohlenen Gelder an diese Ethereum-Adresse überwiesen wurden, was mit einem separaten Bericht des On-Chain-Ermittlers ZachXBT übereinstimmt, der diese Adresse zusammen mit vier anderen markiert hatte. Die Angriffsadressen wurden laut ZachXBT über den Coin-Mixer Tornado Cash finanziert.
