KelpDAO Hack

Am 18. April 2026 wurden KelpDAO, ein Liquid-Restaking-Protokoll, um 116,500 rsETH im Wert von rund 292 Millionen US-Dollar erleichtert – etwa 18 % des Token-Angebots. Dies war der größte DeFi-Angriff des Jahres 2026 und wurde von LayerZero, Mandiant und CrowdStrike der nordkoreanischen Gruppe TraderTraitor (UNC4899) zugeschrieben. Der Angriff zielte auf die LayerZero-basierte Cross-Chain-Bridge von KelpDAO ab, die entgegen der Empfehlung von LayerZero, diversifizierte Multi-DVN-Setups zu verwenden, auf eine 1-of-1-Datenverifizierungsnetzwerk-Konfiguration mit LayerZero Labs als einzigem Verifizierer setzte. Anstatt den Smart-Contract-Code zu manipulieren, kompromittierte der Angreifer die RPC-Infrastruktur, auf der das einzige DVN basierte. Er manipulierte zwei Nodes, um Cross-Chain-Nachrichten zu fälschen, die die Bridge dazu brachten, rsETH an eine vom Angreifer kontrollierte Adresse über mehr als 20 Blockchains freizugeben. Etwa 89,567 rsETH wurden als Sicherheit auf Aave hinterlegt, um WETH im Wert von rund 190 Millionen US-Dollar zu leihen. Dies führte zu geschätzten uneinbringlichen Forderungen in Höhe von 177 Millionen US-Dollar auf Aave und einem Einfrieren der rsETH-Märkte auf V3 und V4. Die Notfall-Multisignatur von KelpDAO fror die Kernverträge etwa 46 Minuten nach dem Abfluss ein und blockierte zwei weitere Abflussversuche. Das Protokoll migrierte rsETH später vom OFT-Standard von LayerZero zum CCIP-Standard von Chainlink. Dieser Fall ist ein wegweisendes Beispiel für kettenübergreifende Single-Point-of-Failure-Konfigurationen, die Sicherheit von Off-Chain-Infrastrukturen und die durch Komposition bedingte Ansteckung.