Millionen-Verlust durch Kelp-Hack: LayerZero macht Lazarus verantwortlich

Das Wichtigste in Kürze

• LayerZero sieht hinter dem Angriff auf Kelp DAO einen „hochentwickelten staatlichen Akteur“, wahrscheinlich die Lazarus-Gruppe aus Nordkorea.
• Der Schaden wird je nach Quelle auf rund 290 Millionen US-Dollar beziffert.
• Aave fror rsETH- und wrsETH-Märkte ein, betonte aber zugleich, dass die eigenen Pools sicher und der Vorfall auf rsETH begrenzt sei.

LayerZero legt sich fest: Hinter dem Exploit bei Kelp DAO könnte Nordkoreas Lazarus-Gruppe stecken. Der Fall ist brisant, weil er nach bisheriger Lesart nicht aus einem simplen Smart-Contract-Bug entstand, sondern aus einer fehlenden Sicherheitsreserve in der Bridge-Konfiguration.

Der Angriff auf Kelp DAO entwickelt sich vom DeFi-Hack zur Grundsatzfrage für Cross-Chain-Infrastruktur. LayerZero erklärte am Montag, vorläufige Hinweise deuteten auf einen „hochentwickelten staatlichen Akteur“ hin, wahrscheinlich auf die Lazarus-Gruppe. LayerZero spricht von rund 290 Millionen US-Dollar Verlust.

Kelp selbst hatte den Vorfall bereits am 18. April öffentlich gemacht und erklärt, man habe „verdächtige Cross-Chain-Aktivität“ bei rsETH festgestellt und die betreffenden Verträge auf Mainnet und mehreren Layer-2-Netzwerken pausiert.

LayerZero grenzt den Schaden ein – aber der Vorwurf ist schwerwiegend

Das Unternehmen behauptet bislang keinen behördlich bestätigten Abschluss der Attribution, sondern spricht ausdrücklich von vorläufigen Hinweisen. Trotzdem ist der Vorwurf politisch heikel, weil Lazarus seit Jahren als nordkoreanische Hackerformation im Kryptosektor gilt. Die USA machten die Gruppe schon 2022 öffentlich für den Ronin-Hack verantwortlich.

Für den Markt noch entscheidender ist LayerZeros zweiter Punkt: Laut der Stellungnahme gebe es keine Ansteckung auf andere Cross-Chain-Assets oder Anwendungen. Aave reagierte dennoch sofort und fror rsETH- und wrsETH-Märkte auf allen relevanten Deployments ein. Gleichzeitig betonte das Protokoll, die eigenen Pools seien sicher und die Ursache liege nicht in einer Schwachstelle von Aave selbst. Das ist für die Einordnung zentral, denn genau an dieser Stelle entscheidet sich, ob aus einem Einzelvorfall ein systemischer Schock wird. Wer Aave als DeFi-Baustein besser einordnen will, findet dazu den passenden Hintergrund bei Coinspeaker: Masterplan für Aave: Diese Krypto-Vision verfolgt der Gründer.

Masterplan für Aave: Diese Krypto-Vision verfolgt der Gründer

Der eigentliche Befund ist technisch – und für DeFi unangenehm

LayerZero verortet die Schwachstelle nicht im eigenen Protokollkern, sondern in der Konfiguration von Kelp DAO. Wörtlich heißt es sinngemäß: Eine Single-Point-of-Failure-Struktur habe dazu geführt, dass kein unabhängiger Verifizierer eine gefälschte Nachricht erkennen und zurückweisen konnte. Mehrere Berichte, die LayerZeros Stellungnahme aufgreifen, beschreiben den Ablauf ähnlich: Angreifer sollen zwei RPC-Knoten kompromittiert, manipulierte Software eingeschleust und die übrige Infrastruktur per DDoS unter Druck gesetzt haben, bis das System auf die kompromittierten Knoten auswich.

Genau hier liegt der unangenehme Kern der Geschichte. Wenn diese Rekonstruktion trägt, dann war nicht ein offener Smart-Contract-Fehler der Haupttreiber, sondern eine zu schwach abgesicherte Betriebsarchitektur. LayerZero zieht daraus bereits Konsequenzen und will Anwendungen mit 1/1-DVN-Setup nicht mehr weiter signieren beziehungsweise authentifizieren, bis auf redundantere Modelle umgestellt wird.

⚠️ Vulnerability Analysis: KelpDAO Attack Incident Breakdown

On April 18 evening, the DeFi platform @KelpDAO was exploited, resulting in losses of up to $292 million, making it the largest DeFi security incident so far in 2026.

I. Root Cause of the Attack

The attacker forged… https://t.co/BfXIQ4Vt9R pic.twitter.com/R5X7D8WKdZ

— GoPlus Security 🚦 (@GoPlusSecurity) April 19, 2026

next Cryptocurrency News