Am 18. April 2026 wurde die Kelp DAO Opfer eines verheerenden Hacks, bei dem ein Verlust von schätzungsweise 290 bis 293 Millionen US-Dollar verzeichnet wurde. Die Angreifer zielten auf die Remote Procedure Call (RPC)-Knoten, die mit dem Verifizierungssystem von LayerZero verbunden sind. Dieser Vorfall wirft nicht nur ein Licht auf die Sicherheitslücken innerhalb der DeFi-Plattformen, sondern zeigt auch die Gefahren, die durch unzureichende Sicherheitskonfigurationen entstehen können.
LayerZero hat die Verantwortung für diesen Vorfall eindeutig auf die Sicherheitskonfiguration von Kelp gelegt. Die DAO hatte die Warnungen von LayerZero ignoriert und betrieb eine riskante Single-Verifier-Konfiguration, die die Angreifer begünstigte. Diese nutzten einen neuartigen Angriffsvektor, um die Infrastrukturebene anzugreifen und bösartige Versionen der Software auf den kompromittierten Knoten einzuschleusen. Dadurch konnten sie betrügerische Transaktionen an LayerZero übermitteln, ohne dass dies sofort entdeckt wurde.
Die Details des Angriffs
Die Attacke wurde vorläufig der nordkoreanischen Lazarus-Gruppe und deren TraderTraitor-Untereinheit zugeschrieben. Während eines DDoS-Angriffs auf externe, nicht kompromittierte RPC-Knoten, der zwischen 10:20 Uhr und 11:40 Uhr Pazifischer Zeit stattfand, konnten die Angreifer Traffic umleiten und die Kontrolle über die kompromittierten Knoten übernehmen. Innerhalb von 80 Minuten gelang es ihnen, eine gültige Cross-Chain-Nachricht zu bestätigen, was zur Freigabe von 116.500 rsETH an ihre Wallets führte.
Die gestohlenen rsETH wurden anschließend als Sicherheiten auf verschiedenen Kreditplattformen verwendet, was es den Angreifern ermöglichte, echte Vermögenswerte abzuheben. Besonders betroffen war die Plattform Aave, die innerhalb von 24 Stunden einen Rückgang ihres nativen Tokens um etwa 15% verzeichnete und insgesamt 6 Milliarden US-Dollar an Abhebungen erlebte. Auch andere DeFi-Anwendungen wie Fluid, Compound Finance, SparkLend und Euler blieben von den Folgen des Hacks nicht verschont.
Reaktionen und Ausblicke
LayerZero hat bereits Maßnahmen ergriffen, um zukünftige Vorfälle zu verhindern, indem es eine permanente Richtlinie gegen die Verarbeitung von Nachrichten für Anwendungen mit Single-Verifier-Konfigurationen eingeführt hat. Der Verifier von LayerZero Labs ist mittlerweile wieder online, wird jedoch keine Nachrichten mehr für 1-zu-1-Konfigurationen signieren. Anwendungen, die auf eine Multi-Verifier-Konfiguration umsteigen, blieben von den Angriffen unbeeindruckt. LayerZero hat zudem klargestellt, dass keine Ansteckung auf andere Anwendungen im Protokoll festgestellt wurde.
In der Cyber-Sicherheitslandschaft zeigt dieser Vorfall einmal mehr die Dringlichkeit, Sicherheitsstandards zu erhöhen und Schwachstellen in IT-Produkten zu adressieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert regelmäßig über schwerwiegende Sicherheitsanfälligkeiten und empfiehlt die Implementierung von Schutzmaßnahmen, um die Integrität von Systemen zu gewährleisten. In Anbetracht der steigenden Anzahl an Angriffen, wie zum Beispiel dem auf die Kelp DAO, ist es unerlässlich, dass Unternehmen und Plattformen proaktive Sicherheitsstrategien verfolgen und sich regelmäßig über aktuelle Bedrohungen informieren.
Die Kelp DAO hat sich bisher nicht öffentlich zu den Darstellungen von LayerZero geäußert, was die Unsicherheiten rund um die getroffenen Sicherheitsentscheidungen verstärkt. Angesichts der enormen Summen, die durch solche Angriffe auf dem Spiel stehen, ist es für alle Akteure im DeFi-Bereich unerlässlich, die Hinweise auf sichere Konfigurationen ernst zu nehmen und entsprechend zu handeln.