$293M KelpDAO-Hack enthüllt Cross-Chain-DeFi-Schwächen, Lazarus verdächtigt

Der KelpDAO-Hack, der diese Woche bekannt wurde, ist keine Geschichte über ein Smart-Contract-Versagen. Es ist etwas Schlimmeres. Angreifer erbeuteten rund 116.500 rsETH im Wert von etwa $293 Millionen, indem sie unbemerkt die Dateninfrastruktur manipulierten, der Cross-Chain-DeFi blind vertraut. Die Gelder wurden anschließend über Tornado Cash gewaschen. Ermittler zeigen nun auf einen altbekannten Verdächtigen.

$293M KelpDAO-Hack legt Schwachstellen im Cross-Chain-DeFi offen — Lazarus unter Verdacht

Ein Liquid-Restaking-Protokoll im Kreuzfeuer

KelpDAO ist ein Liquid-Restaking-Protokoll auf Ethereum. Nutzer hinterlegen ETH und erhalten im Gegenzug rsETH — ein renditetragendes Derivat, das sich frei über dezentralisierte Apps und Chains bewegen lässt. Diese Portabilität ist das Produkt. Wie dieser Vorfall zeigt, ist sie auch die Angriffsfläche.

Die gestohlenen rsETH blieben nicht an einem Ort. Da der Token in Lending-Märkte im gesamten DeFi-Stack eingebunden ist, breitete sich der Schaden rasant aus. Aave, Compound und Euler waren alle betroffen. Aave handelte zuerst und fror rsETH-besicherte Positionen ein, um zu verhindern, dass Forderungsausfälle auf gesunde Märkte übergreifen. Die anderen Protokolle begannen hektisch, ihr eigenes Risiko zu bewerten.

Das ist der Kompromiss, über den niemand gern spricht. Composability ist ein Vorteil, solange alles funktioniert. Wenn ein Teil versagt, wird sie zur Übertragungsleitung für katastrophale Verluste.

„Vorläufige Indikatoren deuten auf einen hochentwickelten staatlichen Akteur hin, wahrscheinlich Nordkoreas Lazarus Group, genauer gesagt die Untergruppe TraderTraitor."

Wie gelang den Angreifern der KelpDAO-Raub?

Kurze Antwort: Sie haben nicht den Code geknackt. Sie haben die Boten kompromittiert.

KelpDAO nutzt ein Decentralized Verifier Network, um Cross-Chain-Nachrichten zu bestätigen, die über die Interoperabilitäts-Infrastruktur von LayerZero geleitet werden. DVNs stützen sich auf Remote Procedure Call Nodes — die Off-Chain-Arbeiter, die den Blockchain-Zustand auslesen und in die Validierungsschicht einspeisen. Kompromittiere genügend RPCs, und du kontrollierst, was die Verifizierer „sehen".

Genau das ist passiert. Die Angreifer übernahmen die Kontrolle über ausgewählte RPC-Nodes und begannen, gefälschte Blockchain-Daten in die Verifizierungs-Pipeline einzuschleusen. Um sicherzustellen, dass ehrliche Nodes den Fälschungen nicht widersprechen konnten, bombardierten sie die legitimen RPCs mit verteilten Denial-of-Service-Angriffen. Vertrauenswürdige Datenquellen fielen aus. Das System griff auf die vergifteten zurück.

Ab da war es reine Formsache. Das Verifier Network genehmigte Cross-Chain-Nachrichten, die rsETH-Transfers autorisierten, die auf der Quellchain nie stattgefunden hatten. Token wurden bewegt. Gelder verschwanden in Tornado Cash. Als sich der Staub gelegt hatte, waren $293 Millionen weg.

Kein Bug-Bounty-Programm hätte das gefunden. Die Smart Contracts verhielten sich exakt wie vorgesehen. Das Problem war die Annahme, dass die Daten, die sie fütterten, echt waren.

Warum die Lazarus Group der Hauptverdächtige ist

Die Fingerabdrücke kommen bekannt vor. Die Lazarus Group und ihr TraderTraitor-Ableger attackieren seit Jahren die Krypto-Infrastruktur. FBI, CISA und das US-Finanzministerium veröffentlichten bereits 2022 eine gemeinsame Warnung, dass nordkoreanische Staatshacker systematisch Blockchain-Firmen, Börsen und DeFi-Protokolle ins Visier nehmen. Seitdem ist das Vorgehen nur noch raffinierter geworden.

Was den KelpDAO-Angriff besonders macht, ist die Geduld. RPC-Infrastruktur zu kompromittieren, DDoS-Wellen zu koordinieren und gefälschte Nachrichten zeitlich abzustimmen erfordert eine Vorbereitung, die weit über einen simplen Blitz-Exploit hinausgeht. Das war Aufklärung, Persistenz und Ausführung auf dem Niveau einer nationalstaatlichen Angriffskampagne. Die Krypto-Branche gibt es nicht immer gern zu, aber DPRK-Operateure sind wohl die erfolgreichsten Bedrohungsakteure, die heute Web3 angreifen.

Das Muster ist entscheidend. Lazarus jagt Kryptowährungen nicht aus Nervenkitzel. Die Gelder finanzieren Berichten zufolge Nordkoreas Waffenprogramme. Jeder erfolgreiche DeFi-Raub wird zu einem geopolitischen Haushaltsposten.

Was das für Cross-Chain-DeFi bedeutet

Die unbequeme Erkenntnis: Cross-Chain-Bridges und Verifier Networks waren schon immer die Achillesferse der dezentralisierten Finanzwelt — und dieser Vorfall beweist, dass die Branche das Problem nicht gelöst hat. Sie hat es nur abstrahiert.

Validatoren und Orakel stehen im Zentrum jeder Cross-Chain-Transaktion. Sie sind auch am leichtesten anzugreifen, weil sie teilweise Off-Chain existieren — in Umgebungen, die eher nach traditioneller Web-Infrastruktur aussehen als nach Blockchain-Konsens. RPC-Nodes sind Server. Server können kompromittiert werden. Server können per DDoS angegriffen werden. Wenn das Sicherheitsmodell davon ausgeht, dass diese Server ehrlich und verfügbar sind, hat das Modell eine Lücke, durch die man $293 Millionen schleusen kann.

Protokoll-Teams stehen nun vor harten Entscheidungen. Die Zahl unabhängiger Verifizierer erhöhen. RPC-Anbieter über verschiedene Regionen und Rechtsgebiete diversifizieren. Anomalie-Erkennung einbauen, die verdächtige Cross-Chain-Nachrichtenmuster markiert, bevor Token bewegt werden. Notbremsen einführen, die Abhebungen pausieren, wenn das Verifizierer-Quorum geschwächt wirkt. Nichts davon ist kostenlos, und alles verlangsamt den Betrieb. Der Markt hat Langsamkeit historisch abgestraft.

Was Sicherheitsteams jetzt tun sollten

Die Antwort für jedes Team mit Cross-Chain-Operationen lautet: Kompromittierung annehmen und alles verifizieren. Das bedeutet, RPC-Nodes als feindlich zu behandeln, bis das Gegenteil bewiesen ist, redundante Verifizierer-Sets über unabhängige Infrastrukturanbieter zu betreiben und zu stresstesten, was passiert, wenn die Hälfte der Validatoren gleichzeitig ausfällt. Der KelpDAO-Angriffsplan wird kopiert werden. Die Teams, die die nächste Runde überleben, sind diejenigen, die heute Zero-Trust-Prinzipien in ihre Bridge-Architektur einbauen — nicht erst, wenn die Gelder bereits abgeflossen sind.

Dieser Vorfall wird eine weitere Runde von Versicherungsprämien-Erhöhungen für DeFi-Protokolle auslösen und eine weitere Welle regulatorischer Bedenken über die Risiken erlaubnisfreier Finanzsysteme. Beides ist vorhersehbar. Keines davon wird das grundlegende Problem lösen.

Die tiefere Lektion ist struktureller Natur. Solange Cross-Chain-DeFi weiterhin Vertrauensannahmen auf Off-Chain-Infrastruktur stapelt, wächst die Angriffsfläche. Lazarus weiß das. Der nächste Angreifer weiß es auch. Die Frage ist, ob die Protokolle schneller aufholen, bevor ein weiterer neunstelliger Abfluss einen anderen Liquid-Restaking-Pool leert.

KelpDAO wird sich erholen. Aave wird die rsETH-Märkte voraussichtlich wieder freigeben, sobald die Post-Mortem-Analyse vorliegt. Der Kreislauf wird weitergehen. Und irgendwo in Pjöngjang kartiert eine Einheit staatlich unterstützter Ingenieure bereits das nächste Ziel.

FAQ

Was ist beim KelpDAO-Hack passiert?
Angreifer erbeuteten rund 116.500 rsETH im Wert von etwa $293 Millionen von KelpDAO, indem sie die RPC-Nodes kompromittierten, die das Decentralized Verifier Network mit Daten versorgen. Sie schleusten gefälschte Cross-Chain-Nachrichten ein, autorisierten betrügerische Token-Transfers und wuschen die Erlöse über Tornado Cash. Die Smart Contracts selbst wurden dabei nie gebrochen.

Wer steckt hinter dem KelpDAO-Exploit?
LayerZero schrieb den Angriff einem hochentwickelten staatlichen Akteur zu, höchstwahrscheinlich Nordkoreas Lazarus Group und konkret deren Untergruppe TraderTraitor. US-Behörden wie FBI, CISA und das Finanzministerium haben diese Gruppe öffentlich mit einer langjährigen Kampagne gegen Kryptowährungs- und Blockchain-Unternehmen in Verbindung gebracht, die mindestens bis 2022 zurückreicht.

Warum hat der KelpDAO-Hack auch Aave, Compound und Euler betroffen?
rsETH wird auf großen DeFi-Lending-Protokollen weitverbreitet als Sicherheit akzeptiert. Als die Deckung des Token in Frage gestellt wurde, breitete sich das Ansteckungsrisiko sofort aus. Aave fror rsETH-bezogene Aktivitäten ein, um kaskadierende Liquidierungen zu verhindern und den breiteren Pool zu schützen. Ein Paradebeispiel dafür, wie DeFi-Composability zum systemischen Risiko wird.

Wie können sich DeFi-Protokolle gegen Cross-Chain-Angriffe wie diesen schützen?
Protokolle sollten RPC-Anbieter diversifizieren, redundante Verifizierer-Sets über unabhängige Infrastruktur betreiben, auf abnormale Cross-Chain-Nachrichtenmuster überwachen und Notbremsen implementieren, die den Betrieb pausieren, wenn das Verifizierer-Quorum geschwächt ist. Off-Chain-Infrastruktur als vertrauenswürdige Schicht zu behandeln, ist keine vertretbare Sicherheitsstrategie mehr.