Der Angriff auf Kelp DAO zählt zu den größten Kryptoraubs der jüngsten Zeit und offenbart kritische Schwachstellen in der Blockchain-Infrastruktur. Am 20. Oktober um 17:35 Uhr UTC gelang es den Hackern, 116.500 rsETH (Restaked Ether) im Wert von etwa 292 Millionen Dollar zu entwenden. rsETH sind Token des Kelp DAO-Protokolls, das Nutzereinzahlungen durch das Restaking-Protokoll EigenLayer leitet, um zusätzliche Renditen zu erwirtschaften.
Kelp DAO vertraute auf eine sogenannte “1-of-1 Verifier Configuration” – ein Verifikationssystem, das nur einen einzigen Validierungspfad nutzt. Dies war das kritische Einfallstor für die Angreifer. Sie zielten auf LayerZero ab, die Cross-Chain-Messaging-Infrastruktur, die es Blockchains ermöglicht, verifizierte Anweisungen auszutauschen. LayerZeros Decentralized Verifier Network (DVN) basiert auf mehreren RPC-Servern (Remote Procedure Calls) zur Überprüfung der Integrität von Cross-Chain-Befehlen.
Die Hacker waren hochprofessionell vorgegangen: Sie manipulierten zwei RPC-Server und führten dann einen verteilten Denial-of-Service-Angriff (DDoS) gegen die verbleibenden Server durch. Dies zwang das System, auf die vergifteten RPCs auszuweichen. Mit einer benutzerdefinierten Payload gelang es ihnen, gefälschte Nachaften an das DVN-Netzwerk zu übermitteln, die als legitim akzeptiert wurden. Das Protokoll führte ihre böswilligen Befehle aus und autorisierte den Geldtransfer.
LayerZero bezeichnet die Angreifer als “TraderTraitor”, eine Subgruppe der berüchtigten nordkoreanischen Advanced Persistent Threat (APT)-Gruppe Lazarus. Diese Gruppe ist für zahlreiche Kryptowährungsraubs in den letzten Jahren verantwortlich.
Ein Schuldiger-Schuldiger-Spiel entstand anschließend: LayerZero argumentiert, dass Kelp DAO die fehlende Multi-DVN-Konfiguration hätte implementieren sollen – eine Industry-Best-Practice, bei der mehrere unabhängige Verifizierer das Risiko eines Einzelfehlpunkts reduzieren. LayerZero habe bereits Empfehlungen gegeben. Kelp DAO hingegen behauptet, LayerZero habe die 1-of-1-Konfiguration als Standard empfohlen.
Die Auswirkungen waren verheerend: Die Hacker deposituerten die gestohlenen Mittel als Sicherheit auf Aave v3 ein und nahmen Kredite auf. Dies schuf 195 Millionen Dollar an Schulden und blockierte schließlich über 5,1 Milliarden Dollar an Stablecoins, während Nutzer panisch ihre Vermögenswerte abzuziehen versuchten. Das Aave-Protokoll verlor einen Gesamtwert von etwa acht Milliarden Dollar.
Der Fall unterstreicht ein fundamentales Problem der DeFi-Ökologie: Während dezentralisierte Finanzprotokolle Unabhängigkeit versprechen, schaffen sie oft kritische Single-Points-of-Failure. Die mangelnde Redundanz und Diversifizierung in der Verifikationsinfrastruktur ermöglichte einem Angreifer, das gesamte System lahmzulegen. Für deutsche Anleger ist dies ein Reminder, dass auch vermeintlich sichere Blockchain-Infrastrukturen erhebliche Risiken bergen können.