Der Anschlag ereignete sich am Wochenende und wurde zunächst dem Krypto-Verleiher Kelp zugeordnet. Doch schnell stellte sich heraus, dass die eigentliche Sicherheitslücke bei LayerZero lag – einem Infrastrukturentwickler, der eine kritische Messaging-Lösung für dezentrale Blockchain-Anwendungen bereitstellt. LayerZero betreibt sogenannte Decentralized Verifier Networks (DVNs), unabhängige Systeme, die Transaktionen zwischen verschiedenen Blockchains validieren und absichern sollen.
Die nordkoreanische Hackergruppe nutzte eine fatale Konfigurationsschwäche aus: Kelp verließ sich ausschließlich auf LayerZeros DVN als einzigen Verifikator, anstatt mehrere unabhängige Systeme zur Kontrolle zu nutzen. Nach dem Eindringen in LayerZeros Systeme gelang es den Angreifern, große Mengen des Token rsETH zu erschaffen – ohne dass echte Ether-Coins als Deckung vorhanden waren. Im nächsten Schritt verwendeten sie diese virtuellen Vermögenswerte als Sicherheit, um echte Kryptowährungen und Dollar-gestützte Stablecoins von anderen Plattformen wie Aave zu borgen.
LayerZero betont in einer detaillierten Nachanalyse, dass das Unternehmen Kelp wiederholt vor dieser Gefahr gewarnt habe. Eine Multi-DVN-Architektur mit Redundanz sei der Industry Standard und LayerZeros ausdrückliche Empfehlung. Doch Kelp folgte diesem Rat nicht.
Besonders raffiniert war die Vorgehensweise der Angreifer: Sie starteten zusätzlich DDoS-Attacken auf Backup-Systeme, die den Betrug hätten aufdecken können. Die dafür verwendeten Tools waren programmiert, sich nach Abschluss der Operation selbst zu zerstören. Auch die Sicherheitsüberwachungssysteme wurden durch manipulierte Daten getäuscht.
Der Fall wirft jedoch auch Fragen zu LayerZeros Sicherheitsmaßnahmen auf. Eine Kelp-Sprecherin gegenüber CoinDesk widersprach der Darstellung des Infrastrukturanbieters deutlich: Das Unternehmen selbst räume in seiner Analyse ein, dass die Kompromittierung LayerZero-Server betraf – nicht Kelps Systeme. Zudem nutzen etwa 40 Prozent aller LayerZero-Kunden die gleiche Single-DVN-Konfiguration, ohne dass LayerZero dies je ernsthaft als Problem kommuniziert habe.
Nordkoreas Cyberangriffsoperationen gegen die Kryptoindustrie nehmen alarmierende Ausmaße an. UN-Ermittler beziffern die Beute aus Krypto-Diebstählen zwischen 2017 und 2023 auf drei Milliarden Dollar. Allein im vergangenen Jahr sollen nordkoreanische Gruppen über zwei Milliarden Dollar erbeutet haben – Geld, das nach Angaben von US-Behörden direkter Finanzierungsquelle für Pjöngjangs Waffenprogramm darstellt. Erst vor drei Wochen gelang der gleichen Gruppe ein ähnlich operierter Raub von 290 Millionen Dollar bei der Drift-Plattform.