LayerZero hat in einem Post-Mortem den Angriff auf Kelp DAO mit einer Wahrscheinlichkeit von nahezu sicher dem nordkoreanischen Lazarus-Klone TraderTraitor zugeschrieben.
LayerZero hat nach dem Exploit am 18. April 2026, bei dem über 292 Millionen US-Dollar aus der rsETH-Pool von Kelp DAO abgezogen wurden, eine forensische Analyse veröffentlicht. Demnach wurde die technische Schwachstelle im dezentralen Verifizierernetzwerk (DVN) als Hauptursache identifiziert. Kelp DAO hatte eine 1-of-1-Konfiguration betrieben, also nur eine einzige verifizierende Node genutzt, obwohl LayerZero mehrfach auf eine Multi-DVN-Architektur hingewiesen hatte, um Angriffe zu verhindern. Diese Architektur hätte einen Angriff auf eine einzelne Node unmöglich gemacht, da Angreifer dann mehrere unabhängige Nodes gleichzeitig kompromittieren müssten.
Der Angriff erfolgte in mehreren Schritten: Zunächst wurde die RPC-Infrastruktur, die LayerZeros DVN-Netzwerk speist, vergiftet. Daraufhin folgte ein DDoS-Angriff, der den Systemfallback auf kompromittierte Backup-Nodes erzwang. Die Angreifer nutzten diese Schwachstelle, um gefälschte Cross-Chain-Transaktionen zu validieren und 292 Millionen US-Dollar aus dem rsETH-Pool zu entweichen. Keine Code- oder Schlüsselkomponenten von LayerZero wurden kompromittiert, sondern lediglich die Architektur des Protokolls, das auf einer fehlerhaften DVN-Setup beruhte.
Die Marktfolgen waren gravierend: Der gesamte DeFi-Total Value Locked (TVL) sank innerhalb von 24 Stunden um 7 % auf 85 Milliarden US-Dollar, wie DefiLlama meldet. LayerZero reagierte umgehend, indem es alle betroffenen RPC-Nodes stilllegte und den Betrieb der DVN-Netzwerke vollständig wiederherstellte. Gleichzeitig arbeitet das Unternehmen mit globalen Strafverfolgungsbehörden zusammen, um den Geldfluss zu verfolgen und die Verantwortlichen zu identifizieren. Die Analyse betont, dass die Architektur von Kelp DAO nicht den empfohlenen Sicherheitsstandards entsprach, was den Angriff erst möglich machte.
Die Zuordnung zu Lazarus ist zwar nicht abschließend bewiesen, aber hochgradig wahrscheinlich, da die Methoden mit bekannten Aktivitäten der nordkoreanischen Hackergruppe übereinstimmen. Die TraderTraitor-Subgruppe, die bereits an anderen großen DeFi-Hacks beteiligt war, wird als wahrscheinlicher Täter genannt. Diese Entwicklung unterstreicht ein wachsendes Risiko für DeFi-Protokolle, die auf unzureichende Sicherheitsarchitekturen setzen, und zeigt, dass selbst etablierte Systeme durch vermeidbare Fehler anfällig werden können.
Die Branche beobachtet nun, ob Kelp DAO eine Entschädigungsmechanismen ankündigt und ob andere Protokolle, die ähnliche Single-Point-of-Failure-Architekturen nutzen, ihre Systeme überarbeiten. Die Episode dient als Warnsignal für die gesamte DeFi-Branche, dass technische Empfehlungen nicht ignoriert werden dürfen, um nicht in die Rolle eines leicht zu attackierenden Ziels zu geraten.
