Am 20. April wurde das dezentrale Protokoll Kelp DAO Ziel eines massiven Hackerangriffs, dessen Verluste über 300 Millionen Dollar überstiegen. Bereits in den ersten Stunden nach dem Vorfall wurde klar, dass dies eines der größten Raubüberfälle im DeFi-Sektor der letzten Jahre ist. In diesem Artikel analysieren wir, was bisher bekannt ist, und betrachten den Verlauf der Ermittlungen in den ersten 18 Tagen nach dem Hack.
Wenn in den ersten Stunden nach dem Vorfall das Bild der Ereignisse fragmentarisch war, so wuchs im Laufe der folgenden zehn Tage die Untersuchung erheblich mit technischen Details und Fakten.
Angriff 1
Phase 1
Erstangriff
Dauerte eine Minute.
Der Einstiegspunkt war der Cross-Chain-Adapter rsETH auf Basis der LayerZero-Infrastruktur. Der Hack erfolgte durch die Kompromittierung der Infrastruktur der RPC-Knoten. Dies wurde durch einen architektonischen Fehler ermöglicht. Die Beeinträchtigung des gesamten Systems begann mit einer kompromittierten Identität.
Phase 2
Bereich der Hauptereignisse
Nach dem Hack nutzten die Angreifer einen raffinierten Plan: Sie sendeten eine gefälschte Nachricht über die erfolgreiche "Blockierung" von Geldern.
Für diejenigen, die sich nicht mit der DeFi-Architektur auskennen, funktioniert in diesem Kontext die "Blockierung" nicht wie das Einfrieren eines Kontos, sondern als Bestätigung des Beitrags. Unter normalen Bedingungen sieht der Prozess so aus:
Etappe 1
Sie bringen einen Vermögenswert (z. B. 100 $) ein. Das System registriert den Erhalt von Geldern und "blockiert" sie in seinem Speicher als Sicherheit.
Etappe 2
Nur nach erfolgreicher erster Etappe wird der automatische Prozess zur Ausgabe neuer Token gestartet, die der Benutzer erhält.
Genau diese Logik nutzten die Hacker. Sie zwangen das System zu glauben, dass die erste Etappe erfolgreich abgeschlossen wurde, obwohl keine echten Vermögenswerte eingezahlt wurden. Indem sie die gefälschte Nachricht für legitim hielten, gab das Protokoll fälschlicherweise 116.500 rsETH ohne jegliche tatsächliche Deckung aus. Dank der Integration mit der LayerZero-Technologie konnten die Angreifer diesen Einfluss sofort auf mehrere Blockchains ausweiten. Dadurch konnten sie gleichzeitig Gelder aus über 20 Netzwerken abheben, darunter Arbitrum, Base, Linea und andere, und verwandelten den Fehler eines Protokolls in einen massiven Liquiditätsverlust in der gesamten Ökosystem.
Phase 3
Abzug und Legalisierung
Nachdem sie Tausende von illiquiden rsETH-Token (die tatsächlich keine reale Deckung hatten) erhalten hatten, nutzten die Hacker diese als Sicherheit in Kreditprotokollen, insbesondere in Aave.
Wie es funktioniert (einfach erklärt):
Stellen Sie sich ein gewöhnliches Pfandhaus vor. Wenn Sie dort ein Gemälde bringen, wird der Gutachter es in Echtzeit sorgfältig überprüfen, bevor er Geld ausgibt. Kreditkrypto-Protokolle sind jedoch automatisierte Systeme, die nach vordefinierten Algorithmen arbeiten. Die Hacker "brachten" gefälschte Kunstwerke (illiquide rsETH) in dieses digitale Pfandhaus. Da das System diese Tokens als legitim ansah, gab es automatisch gegen ihre Sicherheit echte liquide Mittel – Ethereum (WETH) aus. Die Angreifer erhielten echte Kryptowährung und ließen dem Protokoll im Gegenzug wertlose "Schnipsel" zurück. Um ihre Spuren zu verwischen, wurden die erhaltenen Gelder sofort auf Hunderte anonymer Adressen verteilt. Dies machte den Prozess der Verfolgung und Rückgewinnung von Vermögenswerten zu einer äußerst komplexen Aufgabe für Analysten.
Gegenmaßnahmen
Die Administratoren von Kelp DAO aktivierten eine "Notstopp"-Funktion für alle Smart Contracts, um einen weiteren Abzug von Geldern zu verhindern. Der Angriff betraf mindestens 9 angrenzende Protokolle, das Team begann mit einer dringenden Synchronisierung mit anderen DeFi-Plattformen, um die beschädigten Liquiditätspools zu isolieren.
In den ersten Minuten wurden Cybersicherheitsteams mobilisiert, darunter:
Cyvers:
Eines der ersten, das anomale Aktivitäten entdeckte und den Hack bestätigte.
Halborn
Habe einen detaillierten technischen Bericht veröffentlicht, in dem die Ursache des Hacks erklärt wurde – eine Schwachstelle in der Konfiguration des Cross-Chain-Brückenverifiers.
PeckShield
Wurden Kräfte zur Analyse von Transaktionen eingesetzt.
Chainalysis und Elliptic
Verfolgung gestohlener Vermögenswerte.
Nach den ersten Gegenmaßnahmen schien es, als würde diese Geschichte einem logischen Weg der Untersuchung, Kommunikation usw. folgen. Doch 20 Minuten später geschah etwas, das diese Raubüberfälle auf eine noch höhere Ebene der Kategorisierung von Folgen heben könnte.
Angriff 2
Trotz der Kontroversen nach den oben genannten Ereignissen wurde das System kompromittiert und die Hacker schlugen erneut zu.
Der Einstiegspunkt waren dieselben kompromittierten RPC-Knoten.
Zu diesem Zeitpunkt waren die Haupt-Smart Contracts bereits von den Sicherheitsteams eingefroren, und ein anderer Angriffspfad wurde gewählt. Ein neues Datenpaket mit einer gefälschten Bestätigung der "Verbrennung" von Token in einem der Netzwerke wurde gesendet. Die Hauptidee war, den Brückenprotokoll dazu zu bringen, eine neue Runde ungesicherter rsETH in einem anderen Netzwerk auszugeben.
Konzept einfach erklärt:
Beim Versand von 100 Münzen von einem Netzwerk in ein anderes können mehrere Phasen unterschieden werden.
Phase 1
Das Netzwerk, von dem die Münzen gesendet wurden, registriert deren hypothetische Verbrennung und bildet im Wesentlichen einen Datenblock, der in gewissem Maße als Quittung fungiert. Es besagt direkt: Anfrage zur Übertragung einer bestimmten Menge an Münzen wurde erstellt.
Phase 2
Wenn es sich um verbundene Netzwerke handelt, beginnt ein anderes Netzwerk, Daten gemäß den festgelegten Prüfalgorithmen zu empfangen. Wenn die Verifizierung bereits in einem anderen Netzwerk bestanden wurde, wird die Ausgabe der gleichen 100 Münzen initiiert. Hacker haben eine gefälschte Nachricht über den erfolgreichen Abschluss von Phase 1 gesendet, die in Wirklichkeit nicht stattfand. Im Erfolgsfall wären 95 - 105 Millionen Dollar in Form von rsETH erhalten worden.
Gegenmaßnahmen der Sicherheitsteams
Neben der Konzentration auf die Folgen des vorherigen Angriffs schützte ein Teil der Teams den "Perimeter". Infolge der erfolgreichen Trennung der Kräfte blockierte der Sicherheitsrat von Arbitrum den Versuch, Gelder auf der Ebene der Smart Contracts abzuheben, und der Angriff schlug fehl.
Wer steht hinter dem Angriff
Offizielle Anklagen gegen bestimmte Personen oder staatliche Gruppen wurden nicht erhoben. Hauptverdächtige im groß angelegten Angriff auf Kelp DAO, der im April 2026 stattfand, ist die nordkoreanische Hackergruppe Lazarus Group (insbesondere deren Untereinheit TraderTraitor). Vorläufige Berichte von LayerZero Labs sowie Analysen von Chainalysis, Halborn und Blockchain-Detektiv ZachXBT deuten darauf hin, dass die Lazarus Group der wahrscheinlichste Täter ist.
Die Untersuchung des Hacks von Kelp DAO, der im April 2026 stattfand, vereinte internationale Cybersicherheitsteams, Strafverfolgungsbehörden und spezialisierte Blockchain-Schnellreaktionsgruppen. Da der Angriff mit der nordkoreanischen Gruppe Lazarus Group (insbesondere der Untergruppe TraderTraitor) in Verbindung gebracht wird, hat die Untersuchung einen globalen Charakter.
Führende Ermittlungsteams
Team Kelp DAO und Auditoren
Arbeiten daran, Schwachstellen zu beheben und Daten aus den Protokollen der infizierten Knoten wiederherzustellen.
LayerZero Labs
Habe meine eigene Infrastruktur (RPC-Knoten) analysiert, die als Einstiegspunkt verwendet wurde.
Sicherheitsrat von Arbitrum
Das Netzwerkmanagementorgan von Arbitrum, das die Einfrierung von Vermögenswerten koordinierte.
USA
Chainalysis
Habe einen detaillierten Bericht erstellt, in dem bestätigt wurde, dass der Angriff auf die Off-Chain-Infrastruktur und nicht auf Smart Contracts gerichtet war.
TRM Labs
Verfolgen aktiv die Wallets der Angreifer in Echtzeit.
China/Singapur
PeckShield
Hilft, die Routen der Übertragung gestohlener Vermögenswerte durch verschiedene Datenschutzprotokolle zu verfolgen.
Israel
Cyvers
Eines der ersten, das den Hack feststellte und eine technische Analyse darüber lieferte, wie Hacker Gelder über THORChain und BitTorrent wuschen.
Südkorea
Arbeitet aktiv mit Informationen über die Aktivitäten nordkoreanischer Hacker zusammen.
Internationale Gemeinschaft
Schnellreaktions- und Sicherheitsteam SEAL. Beteiligt an der ursprünglichen Untersuchung und half, weitere Verluste zu minimieren.
Entschädigung
Quellen von Geldern für die Entschädigung:
Eingefrorene Gelder (71 Millionen $)
Das sind die gleichen Vermögenswerte auf Arbitrum, die vom Sicherheitsrat des Netzwerks blockiert wurden. Sie wurden durch eine spezielle Governance-Abstimmung an Kelp DAO zurückgegeben.
Eigenes Treasury-Fonds
Das Kelp-Team nutzte die angesammelten Gebühren und einen Teil seiner eigenen Reserven zur Deckung.
Verkauf von KELP-Token
Es wurde eine Notfinanzierungsrunde durch den Verkauf von Token des Projekts an Venture-Fonds mit großem Rabatt durchgeführt, um schnell Liquidität zu erhalten.
Wiederherstellungsplan
Priorität für Einzelinvestoren
Normale Benutzer, die kleine Beträge in rsETH hielten, erhielten zuerst Zugang zum Abzug von Geldern.
Technische "Schuldscheine"
Für diejenigen, die nicht 6 Monate auf die vollständige Rückerstattung warten wollten, gab Kelp spezielle kLoss-Token aus. Diese repräsentierten das Recht auf einen zukünftigen Anteil am Gewinn des Protokolls. Benutzer konnten sie entweder bis zur vollständigen Auszahlung halten oder auf dem Sekundärmarkt an diejenigen verkaufen, die bereit waren zu warten.
Rolle von LayerZero
Da der Hack über die LayerZero-Infrastruktur stattfand, stellte das Entwicklerunternehmen (LayerZero Labs) einen Zuschuss in Höhe von 10 Millionen Dollar als Geste des guten Willens zur Unterstützung der betroffenen Benutzer bereit, obwohl sie rechtlich ihre vollständige Schuld nicht anerkannten.
Am 6. April gab das Kelp DAO-Team offiziell bekannt, dass es die Nutzung von LayerZero-Systemen einstellen und auf die Infrastruktur von Chainlink umsteigen wird.
Status heute
Die meisten Benutzer (über 98%) haben ihre Positionen vollständig wiederhergestellt. große institutionelle Investoren sind jedoch weiterhin dabei, die letzten Tranchen gemäß dem Entsperrzeitplan zu erhalten.
Zusammenfassung
Der Hack von Kelp DAO wurde offiziell zu einem der größten Raubüberfälle der letzten Jahre. Die Untersuchung ergab jedoch, dass auf den ursprünglichen Angriff eine zweite Welle folgte. Dank des Professionalismus der Cybersicherheitsteams gelang es, diesen erneuten Angriff vollständig abzuwehren, wodurch mögliche Schäden um etwa 40 % reduziert wurden. Dennoch bleibt die Situation komplex. Die Frage des Datenschutzes hat angesichts des raschen Anstiegs der Anzahl von Projekten und der Aussicht auf die Transformation von Krypto-Systemen in ein vollwertiges finanzielles Fundament ganzer Staaten eine kritische Bedeutung.