Am 18. April 2026 wurde die Kelp DAO, ein dezentrales Finanzprotokoll, Opfer eines massiven Angriffs, der einen geschätzten Schaden von rund 292 Millionen US-Dollar verursachte. Laut Berichten hat die nordkoreanische Lazarus-Gruppe, die bereits in der Vergangenheit mit ähnlichen Vorfällen in Verbindung gebracht wurde, ihre Finger im Spiel. Die Attacke zielte speziell auf die rsETH-Konfiguration von Kelp DAO ab und offenbarte gravierende Schwächen in der Systemarchitektur des Protokolls.
LayerZero, das Protokoll, das die Transaktionen von Kelp DAO verifiziert, stellte klar, dass der Angriff keine Ansteckungseffekte auf andere Cross-Chain-Assets oder Anwendungen hatte. Dennoch hinterlässt der Vorfall Fragen zur Sicherheit und Zuverlässigkeit von DeFi-Protokollen, insbesondere wenn sie auf eine einzige Verifizierungsmethode setzen. LayerZero wies darauf hin, dass Kelp DAO frühere Warnungen ignoriert hatte, mehrere Verifier zu implementieren, und damit ein hohes Risiko einging.
Die Hintergründe des Angriffs
Die Angreifer nutzten die Schwächen in der Infrastruktur von Kelp DAO aus, indem sie gezielt die RPC-Knoten kompromittierten, die für die Kommunikation mit LayerZero verantwortlich sind. Zwei dieser Knoten wurden durch bösartige Versionen ersetzt, die falsche Informationen an LayerZero übermittelten. Dadurch konnten die Angreifer 116.500 rsETH-Token an sich reißen, die sie anschließend als Sicherheiten auf verschiedenen Kreditplattformen nutzten, um echte Vermögenswerte zu leihen.
Ein weiterer Aspekt des Angriffs war ein sogenannter Distributed Denial-of-Service-Angriff (DDoS), der darauf abzielte, nicht kompromittierte externe Knoten offline zu nehmen und den Datenverkehr über die kompromittierten Knoten umzuleiten. Die böswillige Software, die verwendet wurde, um die Systeme zu manipulieren, war so programmiert, dass sie sich selbst zerstörte, um Spuren zu verwischen.
Folgen für die DeFi-Landschaft
Die Auswirkungen des Angriffs waren weitreichend. Kelp DAO war nicht das einzige Protokoll, das betroffen war; auch andere DeFi-Protokolle wie Aave, Fluid, Compound Finance und Euler erlitten durch die Kelp-Affäre erhebliche Verluste. Aave verzeichnete beispielsweise einen Rückgang von rund 6 Milliarden US-Dollar in seinen verwalteten Vermögenswerten und sah sich mit einem dramatischen Rückgang seines Token-Kurses von etwa 15% innerhalb von 24 Stunden konfrontiert.
LayerZero hat nun angekündigt, dass es keine Projekte mehr unterstützen wird, die auf eine Single-Verifier-Konfiguration setzen. Dies könnte zu einem Umdenken in der gesamten Branche führen, da Experten eindringlich davor warnen, sich auf eine einzige Instanz für die Transaktionsverifikation zu verlassen. Das gesamte Ökosystem wird sich fragen müssen, wie solche Vorfälle in Zukunft verhindert werden können.
Ein Blick auf frühere Vorfälle
Die Lazarus-Gruppe ist nicht unbekannt im Bereich der Krypto-Diebstähle. Nur wenige Wochen zuvor, am 1. April 2026, wurde ein weiterer Angriff verübt, bei dem 286 Millionen US-Dollar vom Drift Protocol gestohlen wurden. Dieser Vorfall zeigt, dass die Bedrohung durch staatlich unterstützte Akteure im Krypto-Sektor real und akut ist. Sicherheitsfirmen haben wiederholt darauf hingewiesen, dass solche Angriffe nicht nur finanzielle Verluste, sondern auch das Vertrauen in die gesamte DeFi-Landschaft gefährden.
Es bleibt abzuwarten, wie Kelp DAO auf die Vorwürfe von LayerZero reagieren wird und ob sie in der Lage sind, das Vertrauen ihrer Community zurückzugewinnen. Die Ereignisse der letzten Wochen sind ein klarer Weckruf für alle Beteiligten in der Krypto-Welt, die Sicherheitsstandards zu überdenken und zu verbessern.