KelpDAO wurde am 18. April 2026 Opfer eines schwerwiegenden Angriffs, bei dem Angreifer rund 290 Millionen Dollar im Zusammenhang mit dem Produkt rsETH abzogen. Erste Analysen deuten darauf hin, dass die nordkoreanische Lazarus-Gruppe und deren Einheit TraderTraitor aufgrund ihrer Taktiken und Infrastruktur die wahrscheinlichen Angreifer sind.
Der Hack zielte eher auf die Cross-Chain-Konfiguration von KelpDAO ab als auf einen direkten Fehler in den zentralen Smart Contracts. Die Angreifer infizierten Remote-Procedure-Call-Knoten (RPC) und missbrauchten Cross-Chain-Messaging, um gefälschte Transaktionen durchzusetzen.
Laut Berichten über den Vorfall gelang es dem Angreifer, 116.500 ungedeckte rsETH zu prägen und einen Großteil davon dann auf DeFi-Plattformen gegen WETH und andere Vermögenswerte zu tauschen. Damit war dieser Angriff einer der größten DeFi-Bridge-Angriffe im Jahr 2026.
LayerZeros Erklärung und die Zuordnung zu Lazarus
LayerZero, dessen Cross-Chain-Messaging-Stack KelpDAO nutzte, erklärte, sein Protokoll funktioniere „normal“ und es sei kein Kernfehler im Protokoll gefunden worden. Stattdessen machte das Unternehmen die Konfigurationswahl von KelpDAO verantwortlich, das ein einziges 1-of-1 Decentralized Verifier Network (DVN) mit LayerZero Labs als einzigem Verifier verwendete.
In dieser Konfiguration reichte ein kompromittierter Verifizierer aus, um gefälschte kettenübergreifende Nachrichten zu genehmigen. LayerZero gibt an, wiederholt Multi-DVN- und Multi-Signer-Konfigurationen empfohlen zu haben, um einen Single Point of Failure zu vermeiden, doch KelpDAO hielt am 1-of-1-Modell fest.
Sicherheitsforscher und Berichte verschiedener Medien weisen darauf hin, dass die Vorgehensweise früheren, mit Lazarus in Verbindung stehenden Kampagnen ähnelt, bei denen oft die Kompromittierung der Infrastruktur mit Social Engineering und fortgeschrittenem On-Chain-Routing kombiniert wird. In öffentlichen Beiträgen von LayerZero werden die Angreifer als „hochentwickelter, staatlich geförderter“ Akteur beschrieben, wobei Indikatoren auf Lazarus hindeuten.
Wo der Single Point of Failure lag
Der Exploit basierte auf zwei miteinander verbundenen Schwachstellen: kompromittierte RPC-Endpunkte und KelpDAOs DVN-Konfiguration mit einem einzigen Verifizierer. Die Angreifer kompromittierten zunächst den vom DVN genutzten Downstream-RPC und starteten dann einen DDoS-Angriff auf andere Knoten, um ein Failover auf den manipulierten Endpunkt zu erzwingen.
Sobald das passiert war, begann das DVN, Transaktionen zu bestätigen, die in der Quellkette gar nicht stattgefunden hatten. Da die Bridge von KelpDAO einem einzigen Verifizierer vertraute, gab es kein zweites oder drittes unabhängiges DVN, das widersprochen und die gefälschte Nachricht gestoppt hätte.
LayerZero und unabhängige Analysten betonen, dass ein 2-von-3- oder 3-von-5-DVN-Setup die Angreifer gezwungen hätte, mehrere unabhängige Verifizierungsnetzwerke gleichzeitig zu kompromittieren. In diesem Fall wäre die gefälschte Nachricht höchstwahrscheinlich gescheitert, selbst wenn ein Knoten oder RPC-Endpunkt unter der Kontrolle der Angreifer gestanden hätte.
LayerZero gibt an, den betroffenen RPC-Endpunkt ersetzt, den DVN-Betrieb wiederhergestellt zu haben und gemeinsam mit KelpDAO, SEAL und Strafverfolgungsbehörden daran zu arbeiten, die Gelder aufzuspüren.
WEITERLESEN: RENDER-Kurs testet die 1,75-Dollar-Marke, während Analysten einen erneuten Test der 2,26-Dollar-Marke erwarten
