LayerZero Incident-Report zum KelpDAO-Bridge-Angriff
LayerZero Labs hat seinen Incident-Report zum KelpDAO-Bridge-Angriff veröffentlicht und bestätigt, dass Angreifer etwa 116.500 rsETH im Wert von rund 292 Millionen Dollar gestohlen haben. Die Angreifer kompromittierten die RPC-Infrastruktur der Verifizierungsschicht von KelpDAOs Cross-Chain-Konfiguration, indem sie die nachgelagerte Infrastruktur vergifteten.
LayerZero erklärte, dass der Vorfall auf KelpDAOs rsETH-Setup beschränkt blieb, da die Anwendung eine 1-of-1-DVN-Konfiguration mit LayerZero Labs als alleinigem Verifizierer nutzte. Dieses Design widerspricht direkt LayerZeros bestehender Empfehlung für diversifizierte Multi-DVN-Setups mit Redundanz. Das Unternehmen betonte, dass es „keine Ansteckung auf andere Cross-Chain-Assets oder Anwendungen“ gab und dass die modulare Sicherheitsarchitektur des Protokolls den Schadensumfang begrenzte.
Technische Details des Angriffs
Nach LayerZeros Bericht zielte der Angriff vom 18. April 2026 auf die RPC-Infrastruktur ab, auf die sich der LayerZero Labs DVN stützte. Die Angreifer erhielten Zugriff auf die RPC-Liste des DVN, kompromittierten zwei auf separaten Clustern laufende Knoten, ersetzten Binärdateien auf op-geth-Knoten und verwendeten bösartige Payloads, um gefälschte Transaktionsdaten an den Verifizierer zu übermitteln. Gleichzeitig sendeten sie echte Daten an andere Endpunkte, einschließlich interner Überwachungsdienste.
Um den Exploit abzuschließen, starteten die Angreifer DDoS-Angriffe auf unkompromittierte RPC-Endpunkte, was ein Failover zu den vergifteten Knoten auslöste. Dies ermöglichte dem LayerZero Labs DVN, Transaktionen zu bestätigen, die nie tatsächlich stattgefunden hatten. Externe forensische Arbeiten bestätigen diese Beschreibung weitgehend. Chainalysis verband die Angreifer mit der nordkoreanischen Lazarus Group, speziell der Untergruppe TraderTraitor.
Reaktion und Sicherheitsmaßnahmen
LayerZero erklärte, dass die unmittelbare Reaktion die Veraltung und den Austausch aller betroffenen RPC-Knoten, die Wiederherstellung des LayerZero Labs DVN und die Kontaktaufnahme mit Strafverfolgungsbehörden umfasste. Das Unternehmen arbeitete mit Industriepartnern und Seal911 zusammen, um die gestohlenen Gelder zu verfolgen.
Wichtig ist, dass LayerZero seine Sicherheitsrichtlinien verschärft hat. Das Unternehmen erklärte, dass sein DVN „keine Nachrichten von Anwendungen signiert oder beglaubigt, die eine 1/1-Konfiguration nutzen“. Diese direkte Richtlinienänderung soll einen Wiederholungsfall des KelpDAO-Fehlermodus verhindern. LayerZero kontaktiert auch Projekte, die noch 1/1-Konfigurationen nutzen, und fordert sie auf, zu Multi-DVN-Modellen mit Redundanz zu migrieren. Das Unternehmen gibt damit faktisch zu, dass Konfigurationsflexibilität ohne erzwungene Sicherheitsvorkehrungen in der Praxis zu permissiv war.
Nexus Mutual erklärte, dass die gefälschte Nachricht 292 Millionen Dollar aus KelpDAOs Bridge in unter 46 Minuten ableitete, was es zu einem der größten DeFi-Verluste von 2026 macht.
Fazit: Lektionen für Cross-Chain-Infrastruktur
Smart Contracts können intakt bleiben und das Protokoll kann dennoch in der Praxis fehlschlagen, wenn die Off-Chain-Vertrauensschicht schwach genug ist.
LayerZero versucht nun zu beweisen, dass die richtige Schlussfolgerung aus einem 292-Millionen-Dollar-Bridge-Diebstahl nicht ist, dass modulare Sicherheit fehlgeschlagen ist, sondern dass die Zulassung eines Single-Signer-Setups der eigentliche Fehler war.
