Das DeFi-Projekt KelpDAO wurde am 18. April Opfer eines der größten Kryptoraube des Jahres. Sicherheitsforscher beschreiben einen hochprofessionellen Angriff, der typisch für die Lazarus Group ist – jene nordkoreanische Hacker-Organisation, die bereits für Diebstähle im Milliardenbereich verantwortlich gemacht wird.
KelpDAO funktioniert als dezentralisierte Plattform für “Liquid Restaking” auf dem Ethereum-Netzwerk. Nutzer hinterlegen ETH-Token, die KelpDAO restakt und dafür einen Liquiditätstoken namens rsETH zurückgibt. Dieser Token sollte Nutzern ermöglichen, kontinuierlich Erträge zu generieren – und das ist genau das Ziel geworden, das die Angreifer ausnutzten.
Die Angriffsmethode: Manipulation statt Brute-Force
Statt eine einfache Sicherheitslücke auszunutzen, verfolgten die Hacker eine raffinierte Strategie. Sie compromittierten RPC-Knoten (Remote Procedure Call), die für die Validierung von Cross-Chain-Transaktionen zuständig sind. Gleichzeitig führten sie DDoS-Attacken durch, um legale Knoten lahmzulegen. Dadurch zwangen sie das Verifizierungssystem, nur noch die manipulierten “vergifteten” Knoten zu nutzen.
Das Resultat: Falsche Cross-Chain-Nachrichten wurden als legitim akzeptiert. Transaktionen, die nie wirklich stattgefunden hatten, wurden bestätigt – insgesamt 116.500 rsETH im Wert von etwa 290 Millionen Dollar verschwanden. Um ihre Spuren zu verwischen, leiteten die Täter die gestohlenen Gelder durch Tornado Cash, ein Kryptomischer-Dienst, das Gesamtvolumen war kleiner als der Drift Protocol-Hack im letzten Jahr ($280 Millionen), aber dennoch eine massive Summe.
Lazarus Group: Profis mit unbegrenztem Budget
LayerZero, das an der Untersuchung beteiligte Unternehmen für Blockchain-Interoperabilität, kam zu dem Ergebnis, dass die Lazarus Group – speziell eine Untergruppe namens TraderTraitor – hinter dem Angriff steckt. “Erste Indikatoren deuten auf einen hochentwickelten staatlichen Akteur hin, wahrscheinlich die DPRK Lazarus Group”, heißt es in offiziellem Statement.
Dies ist nicht der erste massive Raub, den Lazarus durchführt. Der Drift-Protocol-Hack (280 Millionen Dollar) war das Ergebnis einer sechsmonatigen, sorgfältig geplanten Operation mit Agenten auf Konferenzen und Millionen-Dollar-Investitionen. Die Lazarus Group operiert offenbar mit großen Budgets und unbegrenzter Geduld.
Auswirkungen auf DeFi und deutsche Nutzer
Aave, Compound und Euler reagierten schnell und blockierten rsETH als Sicherheit. KelpDAO betont, dass das Incident auf rsETH isoliert sei und keine Ansteckung auf andere Assets erfolgt ist. Dennoch offenbaren sich damit fundamental Schwachstellen in der DeFi-Infrastruktur: Selbst gut überprüfte Cross-Chain-Protokolle können durch staatlich finanzierte, langfristig geplante Operationen infiltriert werden.
Für deutsche Investoren und Institutionen ist dies ein deutliches Warnsignal. DeFi bleibt hochriskant, und auch vermeintlich sichere Plattformen können zum Ziel werden – mit Konsequenzen im neunstelligen Dollar-Bereich.