博链BroadChain erfuhr, dass am 23. April um 12:16 Uhr, in den frühen Morgenstunden des 19. April, die auf LayerZero basierende rsETH-Cross-Chain-Bridge von Kelp DAO angegriffen wurde. Dabei wurden etwa 116.500 rsETH ohne entsprechende Vernichtungsprotokolle vom Mainnet abgezogen, was einem Verlust von etwa 292 Millionen US-Dollar entspricht. Innerhalb einer Stunde nach dem Angriff setzte Kelp die Verträge notfallmäßig aus. Der Angreifer unternahm jedoch zwei weitere Versuche, den Angriff zu verstärken. Wären die Verträge nicht ausgesetzt worden, hätte der potenzielle Gesamtschaden bis zu 391 Millionen US-Dollar betragen können.
Dies ist bereits der höchste Einzelverlust im DeFi-Bereich im Jahr 2026. Der Kern des Angriffs lag in einem Single Point of Failure des Validierungsmechanismus. Kelp verwendete die schwächste von LayerZero zugelassene Sicherheitskonfiguration – 1/1 DVN, was bedeutet, dass nur eine einzige Validatorsignatur erforderlich war, um Cross-Chain-Nachrichten zu genehmigen. Sicherheitsexperten wiesen darauf hin, dass es sich im Wesentlichen um einen Architekturfehler handelt, der durch Audits nicht behoben werden kann.
Bereits im Januar 2025 hatte ein Entwickler im Aave-Governance-Forum darauf hingewiesen, dass Kelp auf eine Multi-Validator-Konfiguration erweitert werden sollte. Dieser Vorschlag wurde jedoch über 15 Monate lang nicht umgesetzt. LayerZero kündigte nach dem Vorfall an, die Genehmigung von Nachrichten für Anwendungen, die weiterhin Einzelvalidatoren verwenden, einzustellen. Der technische Kontrollverlust löste schnell eine systemische Ansteckung aus.
Der Angreifer hinterlegte die gestohlenen rsETH auf mehreren Kreditplattformen wie Aave und Compound und lieh sich daraufhin reale Vermögenswerte im Wert von über 236 Millionen US-Dollar aus. Aave frohr daraufhin die betroffenen Märkte ein, was zu einer plötzlichen Verknappung der Liquidität führte und eine Abhebewelle von über 100 Milliarden US-Dollar auslöste. Mindestens neun weitere Protokolle, darunter Fluid, Upshift und Lido Earn, lösten nacheinander Notfallmaßnahmen aus.
Dies offenbarte das Risiko, dass LRTs (Liquid Restaking Tokens) als Sicherheit, nach mehrfacher Schichtung und Kombination, bei einer Leerung der zugrundeliegenden Reserven die gesamte Vertrauenskette gleichzeitig destabilisieren können. Die Zuordnung dieses Angriffs ist umstritten. LayerZero schrieb ihn der nordkoreanischen Hackergruppe Lazarus Group zu, während das Sicherheitsunternehmen Cyvers angab, die Clusterbildung der betreffenden Wallets noch nicht bestätigt zu haben.
Die vom Angreifer verwendete bösartige Node-Software löschte nach dem Vorfall automatisch ihre Spuren, was die forensische Untersuchung erschwerte. Dies spiegelt wider, dass der DeFi-Branche eine systematische Zusammenarbeit bei der Angriffsverfolgung und Informationsweitergabe fehlt. Die aufeinanderfolgenden Angriffe mit enormen Verlusten zeigen, dass der bestehende Sicherheitsmanagementrahmen von DeFi vor ernsthaften Herausforderungen steht.
Die Weiterentwicklung der Sicherheit erfordert die gemeinsame Beteiligung von Protokolldesignern, Infrastrukturschichten, Kreditplattformen und anderen Parteien, um Risikoannahmen neu zu kalibrieren und systematischere Mechanismen für Informationsaustausch und verbindliche Risikokontrolle zu etablieren.