Zurück zur Startseite

KelpDAO-Angriff: So wurden 293 Mio. USD über einen einzigen Knoten gestohlen

Hacker stahlen 293 Mio. USD von KelpDAO, indem sie ausnutzten, dass das Projekt nur einen LayerZero-Validierungsknoten verwendete. Der Angriff umfasste Server-Kompromittierung, DDoS und Daten-Täuschung. Das LayerZero-Protokoll selbst wurde nicht gehackt – das Problem resultierte aus der Benutzerkonfiguration.

So täuschten Hacker KelpDAO und stahlen 293 Mio. USD

Predict

Signal basierend auf diesem Artikel

Signal8/10
Richtungdown
Magnitude5-12%
Zeitrahmen1-3d
Konfidenzmedium

Treiber

The $293M exploit on KelpDAO’s rsETH bridge caused immediate depegging risk and forced liquidations across Aave. The mechanism is loss of confidence in restaked assets’ redeemability, triggering sell pressure and collateral unwinding. Key risk: if KelpDAO compensates users or proves solvency, price could rebound quickly.

Alle Prognosen für dieses Datum ansehen

Nur analytisches Signal. Keine Finanzberatung.

Advertisement 728x90

Wie Hacker 293 Millionen US-Dollar von KelpDAO stahlen: Der Angriff, der einen einzigen schwachen Knoten ausnutzte

Hacker erbeuteten nahezu 300 Millionen US-Dollar, indem sie ausnutzten, dass KelpDAO seine gesamte Sicherheit einem einzigen technischen Knoten anvertraut hatte. Dabei handelte es sich nicht um eine Verletzung des LayerZero-Protokolls selbst – sondern um eine Fehlkonfiguration durch einen seiner Nutzer. Dennoch wirkten sich die Folgen wellenförmig auf das gesamte DeFi-Ökosystem aus: Investoren eilten, ihre Mittel abzuziehen, und der Markt stellte erneut die Vertrauenswürdigkeit von Cross-Chain-Brücken infrage.

Warum ein einzelner Knoten wie eine einzige Tür zu einer Bank ist

Stellen Sie sich vor, Sie bauen einen Tresor für Ihr Geld. Statt drei Schlösser verschiedener Hersteller einzubauen, installieren Sie nur eines – und übergeben den Schlüssel Ihrem Nachbarn. Falls Ihr Nachbar kompromittiert wird oder einen Fehler macht, öffnet sich Ihr Tresor. Genau so funktionierte das Sicherheitssystem von KelpDAO.

Das LayerZero-Protokoll ermöglicht es verschiedenen Blockchains, miteinander zu „kommunizieren“ – etwa bei der Übertragung von Tokens von Ethereum nach Solana. Dazu setzt es sogenannte „Verifizierer-Knoten“ ein. Idealerweise sollten mehrere, voneinander unabhängige Verifizierer auf separaten Servern verteilt sein. Lügt einer davon, korrigieren die anderen ihn.

Google AdInline article slot

KelpDAO nutzte jedoch nur einen solchen Verifizierer – jenen, den LayerZero direkt bereitstellte. Damit verletzte man das grundlegende Prinzip „Legen Sie nicht alle Eier in einen Korb“. Die Angreifer nutzten diese Schwachstelle sofort aus.

Wie der Angriff ablief: Lügen, DDoS und verschwindende Spuren

Die Untersuchung ergab, dass die Angreifer wie professionelle Spione agierten:

  • Zunächst erlangten sie Zugriff auf die Liste der Server (RPC-Knoten), die LayerZero für die Kommunikation nutzt.
  • Anschließend kompromittierten sie zwei unabhängige Server bei unterschiedlichen Anbietern und installierten darauf schadhaften Code.
  • Danach begannen diese Server, dem System eine gefälschte Nachricht zu senden: „Hier ist die Token-Übertragung“, obwohl gar keine tatsächliche Übertragung stattgefunden hatte.
  • Um sicherzustellen, dass das System sämtliche Anfragen ausschließlich an diese Server leitete, starteten die Hacker einen DDoS-Angriff gegen alle übrigen Knoten – sie überschwemmten sie mit gefälschten Anfragen und lösten dadurch eine Überlastung aus.
  • Das System schaltete automatisch auf die „ruhigen“ und „reaktionsfähigen“ kompromittierten Server um – und akzeptierte deren Lüge als Wahrheit.
  • Schließlich löschten die Angreifer sämtliche Spuren: Logs, Konfigurationen und den schadhaften Code selbst. Nichts blieb zurück.

Als Ergebnis erhielten die Hacker 116.500 rsETH-Tokens (Restaked ETH) – eine Art „aufgewertete“ Version von ETH, die in Restaking-Systemen genutzt wird. Anschließend hinterlegten sie diese Tokens als Sicherheit auf Aave V3 und entliehen wETH. Aave akzeptierte die Sicherheit als legitim, obwohl der zugrundeliegende Asset bereits gestohlen war. Dadurch entstand eine ungedeckte Schuldenposition – und löste Panik unter den Nutzern aus.

Google AdInline article slot

Nordkorea? Möglicherweise – doch bisher keine Belege

Das LayerZero-Team erklärte, der Angriff sei wahrscheinlich von der Lazarus Group ausgeführt worden – einer bekannten Hackerorganisation mit Sitz in Nordkorea. Ihre Untergruppe TraderTraitor spezialisiert sich auf Kryptowährungs-Diebstähle. Analysten betonen jedoch: Es gibt bislang keinerlei direkte Belege für eine Beteiligung der Lazarus Group an diesem Vorfall. Die Zuordnung beruht ausschließlich auf Mustern des Angriffs und verwendeten Verschleierungstechniken.

Entscheidend: Selbst falls Lazarus involviert war, ging die Schwachstelle nicht auf den LayerZero-Code zurück – sondern auf die Konfiguration durch KelpDAO. Das Protokoll selbst wurde niemals gehackt; es wurde lediglich missbraucht.

Wichtige Erkenntnisse

  • KelpDAO verließ sich auf nur einen Verifizierer-Knoten, was ein grundlegendes DeFi-Sicherheitsprinzip verletzte.
  • Die Hacker führten einen mehrstufigen Angriff durch: Kompromittierung von Servern + DDoS + Datenfälschung + Spurenbeseitigung.
  • 116.500 rsETH wurden gestohlen, was zum Marktpreis rund 293 Millionen US-Dollar entspricht.
  • Der Angriff beeinträchtigte keine anderen LayerZero-Projekte – das Problem war lokal, löste aber systemweite Ängste aus.
  • LayerZero hat sich mittlerweile erholt, doch das Vertrauen in Cross-Chain-Brücken bleibt vorübergehend erschüttert.

Was dies für alltägliche Nutzer bedeutet

Falls Sie Mittel in DeFi-Protokollen halten – insbesondere in neuen oder weniger bekannten – lohnt es sich zu prüfen: Wie dezentralisiert ist ihr Sicherheitsmodell? Nutzen sie mehrere, voneinander unabhängige Verifizierungsquellen? Die meisten großen Plattformen tun dies mittlerweile korrekt – doch nicht alle.

Google AdInline article slot

Darüber hinaus erinnern Angriffe wie dieser daran: Selbst wenn die zugrundeliegende Technologie einwandfrei funktioniert, kann menschliches Versagen – bei der Konfiguration, der Wahl von Parametern oder operativen Entscheidungen – alles zunichtemachen. Der Kryptomarkt reift zwar – doch Risiken bestehen weiterhin, insbesondere dort, wo Teams neue Funktionen rasch bereitstellen, ohne die Grundlagen rigoros zu validieren.

— Editorial Team

Advertisement 728x90

Weiterlesen

Partner-News