Wenn eine einzige falsch konfigurierte Signatur ausreicht, um $292 Millionen an Tokens aus dem Nichts zu erschaffen, sieht das gesamte Konzept von trustless Finance viel wackeliger aus, als der Name vermuten lässt.
Wie der Angriff funktionierte
Am 18. April 2026 hat ein Angreifer eine Schwachstelle in KelpDAOs Cross-Chain-Brücke ausgenutzt - betrieben von LayerZero - um 116.500 rsETH Tokens im Wert von etwa $292 Millionen abzuziehen. Das sind etwa 18% des gesamten zirkulierenden Angebots von rsETH, heraufbeschworen aus einem Fehler, der nicht im Protokoll von LayerZero selbst lag, sondern in der Konfiguration, die Kelp vorgenommen hatte.
Die Konfiguration basierte auf einem einzigen Verifikationspunkt zur Autorisierung von Cross-Chain-Nachrichten. Der Angreifer fand ihn, nutzte ihn aus, und eine Nachricht ging durch, die nicht hätte durchgehen sollen. "Eine Unterschrift und 116.500 rsETH materialisierten sich aus dem Nichts auf Ethereum," wie Forscher später beschrieben. Diese Tokens wurden dann als Sicherheiten genutzt, um reale Vermögenswerte - hauptsächlich von Aave - zu leihen und abgezogen, bevor das Protokoll pausieren konnte.
Fingerabdrücke der Lazarus-Gruppe
Innerhalb von drei Tagen nach dem Vorfall ordnete die Blockchain-Analysefirma Chainalysis den Angriff der Lazarus-Gruppe aus Nordkorea zu, basierend auf den Mustern der Mixer-Nutzung und den Methoden zur Mittelverteilung, die dem bekannten operativen Stil der Gruppe entsprechen. Die Zuordnung passt zu Lazarus' Erfolgsbilanz bei der Zielverfolgung von DeFi-Protokollen - sie sind die produktivsten On-Chain-Diebe, die seit mehreren Jahren unterwegs sind.
Das Ausmaß des Verlusts macht es zum größten DeFi-Ausnutzungsfall von 2026 und übertrifft den Drift-Hack um einige Millionen Dollar. Die kumulierten DeFi-Verluste in diesem Jahr haben nun 770 Millionen Dollar in mehr als 30 Vorfällen überschritten - eine Zahl, die schwer als Wachstumsbeschwerden einer reifenden Branche zu verkaufen ist.
DeFi startet eine Rettung
Was folgte, war, je nach Perspektive, entweder eine bemerkenswerte Koordination oder eine Erinnerung daran, dass das Sicherheitsnetz in DeFi völlig informell ist.
Aave versammelte eine Koalition namens "DeFi United", die Lido Finance, EtherFi und andere große Protokolle einbezog, um ETH bereitzustellen, um das Defizit in Aaves Kreditpools zu decken. Am 21. April fror der Network Security Council von Arbitrum 30.766 ETH - etwa 71 Millionen Dollar - des Angreifers ein und holte etwa 25% der gestohlenen Vermögenswerte zurück. Standard Chartered veröffentlichte eine Notiz, in der die Reaktion des Sektors als Zeichen der Resilienz bezeichnet wurde. Die breitere Krypto-Community war weniger besonnen, einige erklärten DeFi schlichtweg für tot.
Was sich ändern muss
Der Nachbericht von CoinDesk, der am Samstag veröffentlicht wurde, weist auf Cross-Chain-Brücken als das hartnäckigste Schwachglied im DeFi hin - ein Problem, dessen sich die Branche seit den Ausnutzungen der Wormhole- und Ronin-Brücke vor Jahren bewusst ist. Das Muster ist konsistent: Die Komplexität der Brücken schafft Angriffsflächen, und die Anreize, schnell zu liefern, übertreffen oft die Anreize für sorgfältige Audits.
Der unangenehmste Teil dieses Vorfalls ist, dass es kein ausgeklügelter Zero-Day-Angriff war. Es war ein Konfigurationsfehler. Die Infrastruktur von LayerZero funktionierte wie vorgesehen - das Problem war, wie Kelp es implementierte. Das ist ein viel schwierigeres Problem, das allein mit Audits zu beheben ist, denn es bedeutet, dass jedes Protokoll, das eine gemeinsame Infrastruktur nutzt, nicht nur den Code, sondern auch jeden Parameter verifizieren muss, der bestimmt, wie Cross-Chain-Nachrichten vertraut und validiert werden.
KelpDAO und Aave arbeiten weiterhin an der Wiederherstellung. Die Lazarus-Gruppe hat unterdessen geschätzte 292 Millionen Dollar an Vermögenswerten zu waschen. Einige Dinge im Krypto bewegen sich schneller als andere.
---------------
Autor: Ryan Gardner Silicon Valley News Desk
Abonniere GCP in einem Leser