LayerZero vermutet Lazarus-Gruppe hinter Kelp-DAO-Exploit
LayerZero hat den Kelp-DAO-Exploit der nordkoreanischen Lazarus-Gruppe zugeschrieben und einen Single-Point-of-Failure im Verifier-Setup des Protokolls als technische Ursache identifiziert, die den Angriff ermöglichte.
Bei der Sicherheitsverletzung wurden am 18. April schätzungsweise 292 Mio. USD aus dem rsETH-Pool von Kelp DAO entwendet, was den bislang größten DeFi-Hack des Jahres 2026 markiert. Laut DefiLlama sank der Gesamtwert (Total Value Locked, TVL) im gesamten DeFi-Sektor innerhalb von 24 Stunden um 7 % auf 85 Mrd. USD.
Die Zuschreibung ist kein abschließendes Ergebnis, sondern eine probabilistische Behauptung: LayerZero bezeichnet Lazarus als wahrscheinlichen, nicht als bestätigten Täter. Was diese Unterscheidung für das Protokoll, seine Nutzer und das Cross-Chain-Sicherheitsmodell bedeutet, ist die Frage, die dieser Bericht beantwortet.
- Quelle der Zuschreibung: LayerZero führte die Untersuchung nach dem Vorfall durch und nannte die nordkoreanische Lazarus-Gruppe – speziell die Untergruppe TraderTraitor – als wahrscheinlichen Täter.
- Technische Ursache: Kelp DAO betrieb ein 1-von-1 DVN-Setup (einzelner dezentraler Verifiziererknoten) und ignorierte damit die wiederholten Empfehlungen von LayerZero für eine Multi-Verifier-Redundanz.
- Exploit-Summe: Ungefähr 292 Mio. USD wurden aus dem rsETH-Pool von Kelp DAO abgezogen; es wurden keine Protokollcodes oder privaten Schlüssel von LayerZero kompromittiert.
- Marktauswirkung: Der DeFi-TVL fiel nach dem Vorfall innerhalb von 24 Stunden um 7 % auf 86 Mrd. USD.
- Reaktion: LayerZero hat die betroffenen RPC-Knoten außer Betrieb genommen und den vollen DVN-Betrieb wiederhergestellt; die Zusammenarbeit mit Strafverfolgungsbehörden zur Rückverfolgung der Gelder läuft.
- Ausblick: Es bleibt abzuwarten, ob Kelp DAO einen Entschädigungsmechanismus ankündigt und ob weitere Cross-Chain-Protokolle mit Single-DVN-Konfigurationen Maßnahmen ergreifen, bevor der nächste Angriff erfolgt.
Entdecken Sie: Neue Kryptowährungen im Launch
LayerZeros Lazarus-Erkenntnisse zu Kelp DAO: Was ein Single-Point-Failure in der Cross-Chain-Architektur wirklich bedeutet
Der Mechanismus des Exploits war mehrstufig und präzise. Die Angreifer manipulierten die RPC-Infrastruktur, die das dezentrale Verifizierer-Netzwerk von LayerZero speist, und starteten dann einen DDoS-Angriff, um ein Failover auf kompromittierte Backup-Knoten zu erzwingen.
Nachdem das Verifizierer-Netzwerk umgeleitet worden war, validierte das System fiktive Cross-Chain-Transaktionen, und 292 Mio. USD in rsETH verließen den Pool von Kelp DAO, bevor der Betrug entdeckt wurde.
Die entscheidende Schwachstelle: Kelp DAO nutzte eine 1-von-1 DVN-Konfiguration, was bedeutete, dass ein einziger Verifiziererknoten zwischen dem Protokoll und einem katastrophalen Ausfall stand. LayerZero hatte diese Architektur mehrfach als unzureichend markiert – wie die Untersuchung ergab – und ein Multi-DVN-Setup entsprechend den Branchenstandards für Redundanz empfohlen. Kelp DAO reagierte nicht auf diese Empfehlungen.
Ein Multi-DVN-Setup hätte von den Angreifern verlangt, mehrere unabhängige Verifiziererknoten gleichzeitig zu kompromittieren, was eine wesentlich höhere technische Hürde darstellt. Das 1-von-1-Setup ließ diese Barriere komplett einstürzen. Wie Ripple-CTO David Schwartz auf X schrieb: „Der Angriff war wesentlich ausgefeilter als erwartet und zielte auf die LayerZero-Infrastruktur ab, indem er die Trägheit von KelpDAO ausnutzte.“
Die Reaktion von LayerZero erfolgte chirurgisch präzise: Das Team nahm nach dem Vorfall alle betroffenen RPC-Knoten außer Betrieb und stellte den DVN-Betrieb vollständig wieder her, ohne dass andere Protokolle, die dieselbe Infrastruktur nutzen, in Mitleidenschaft gezogen wurden. Es wurde kein Protokollcode von LayerZero kompromittiert und es wurden keine privaten Schlüssel offengelegt. Das Versagen war architektonisch, nicht fundamental – eine Unterscheidung, die für die Glaubwürdigkeit des Protokolls enorm wichtig ist, aber nichts zur Wiedererlangung der 292 Mio. USD beiträgt.
Warum die Zuschreibung an Nordkorea das Bedrohungsmodell für ganz DeFi verändert
LayerZeros Zuschreibung des Kelp-DAO-Hacks an Lazarus, die als wahrscheinlich, aber nicht bestätigt formuliert ist, steht im Einklang mit einem etablierten und sich beschleunigenden Muster.
Die TraderTraitor-Untergruppe, eine bekannte operative Einheit von Lazarus, wurde in der forensischen Analyse vorläufig identifiziert. LayerZero arbeitet aktiv mit internationalen Strafverfolgungsbehörden bei der Verfolgung der Gelder zusammen, was darauf hindeutet, dass die Zuschreibung genug Beweislast trägt, um Ermittlungsressourcen auf staatlicher Ebene einzubeziehen.
Lazarus wurde mit einigen der größten Krypto-Diebstähle der Geschichte in Verbindung gebracht, darunter der 625-Mio.-USD-Hack des Ronin Network 2022 und eine Reihe von DeFi-Protokoll-Exploits, die laut Einschätzungen des US-Finanzministeriums und der UN insgesamt Milliarden in die Waffenprogramme der DVRK geschleust haben.
Nordkoreas Krypto-Operationen gehen weit über direkte Exploits hinaus – das Regime hat auch Agenten unter gefälschten Identitäten in Web3-Unternehmen eingeschleust, eine parallele Strategie, die die Angriffsfläche über die reine Infrastruktur hinaus vergrößert.
Cross-Chain-Protokolle sind strukturell attraktive Ziele für diese Art von Akteuren. Sie fungieren als wertvolle Knotenpunkte zwischen mehreren Chains und führen oft gepoolte Liquidität, die die Bestände einzelner Anwendungen in den Schatten stellt. Ihre Sicherheit hängt von Verifizierer-Netzwerken ab, die bei Fehlkonfiguration zu Single-Point-of-Failures werden können. RPC-Poisoning als Taktik gegen Verifizierer-Netzwerke stellt eine neuartige Eskalation dar – eine, die laut Sicherheitsforschern nun dokumentiert und replizierbar ist.
Entdecken Sie: Die besten Kryptowährungen zur Diversifizierung Ihres Portfolios
2M+
250+
8
70
Beste Krypto ICOs
-
Bitcoin Hyper
-
Maxi Doge
-
BMIC
-
LiquidChain
-
SUBBD
Weitere Artikel
in numbers
