Letzten Samstag wachte die Krypt-Gemeinschaft mit Nachrichten auf, die wieder auf den Tisch ein wiederkehrendes Problem stellen: Die Brieftaschen von KelpDAO wurden in einer Operation geleert, die nach den ersten Untersuchungen auf einen Schauspieler mit umfangreichen Ressourcen und staatlichen Erfahrungen verweist. KelpDAO und LayerZero-Teams erkannten abnorme Aktivität im Zusammenhang mit rsETH, das Token, das restierte Positionen darstellt, und einige Tage später wurde klar, dass mehr als 100.000 rsETH-Einheiten das Ökosystem verlassen, für einen Wert von etwa $290 Millionen.
KelpDAO ist ein dezentralisiertes Finanzprojekt (DeFi) mit Schwerpunkt auf flüssigem Restaking: Nutzer hinterlegen ETH, die Plattform hält diese Vermögenswerte und emittiert rsETH, so dass die Schlagzeilen weiterhin an der DeFi-Wirtschaft teilnehmen, ohne Liquidität zu verlieren. Dies bewegte sich auch zwischen Ketten mit der LayerZero Messaging-Schicht, die es ermöglicht, Ereignisse zwischen verschiedenen Blockchains zu kommunizieren.
Die erste öffentliche Reaktion des Projekts war, die mit rsETH verbundenen Verträge im Hauptetheum-Netzwerk und in den zweiten Schichtlösungen zu unterbrechen. KelpDAO berichtete über eine "suspicious crosschain activity" und gab bekannt, dass es mit Partnern wie LayerZero und Unichain zusammenarbeiten würde, um zu klären, was geschehen war; ihre ersten Releases können auf ihrem öffentlichen Kanal aufgelesen werden X / Twitter.
Die Spur in der Kette zeigte, dass etwa 116.500 rsETH in Mischer bewegt wurden, um den Ursprung zu verbergen, einschließlich durch Tornado Cash, und dass die Transaktionen nicht den legitimen Operationen in der Kette erfasst entsprechen. Ein unabhängiger Ermittler teilte X / Twitter die Token zählen und der geschätzte Wert in Dollar.
LayerZero, der die kreuzkettige Messaging-Infrastruktur verwaltet, veröffentlichte technische Indikatoren zur Methode des Angriffs. Nach ihrer Aussage brechen die Angreifer nicht direkt die Token-Kryptografie, sondern engagierte kritische Komponenten der Nachrichtenverifikationsschicht: Einige RPC-Knoten, die von dem Validator verwendet wurden, wurden mit falschen Daten vergiftet, während gleichzeitig ein Denial of Service (DDoS) Angriff gegen gesunde Knoten durchgeführt wurde, um die Abhängigkeit von den manipulierten Quellen zu zwingen.
Das Ergebnis war, dass das System falsche Kreuzkettennachrichten akzeptierte, die Bestätigung von Operationen, die in der Ursprungskette nicht wirklich existierten und die Übertragung von rsETH ohne die tatsächliche Genehmigung der betreffenden Konten erlauben. Diese Kombination aus Datenhandling und Servicesättigung zeigt, dass es nicht immer notwendig ist, intelligente Verträge zu verletzen: Angriffe peripherer Infrastrukturen können ebenso verheerend sein.
In seiner vorläufigen Beurteilung wies LayerZero auf die Beteiligung eines sehr anspruchsvollen und langfristigen Planungsakteurs hin, der ausdrücklich Anzeichen erwähnte, die die Lazarus-Gruppe im Zusammenhang mit Nordkorea erinnern. Seine Worte und seine erste Analyse sind in seiner öffentlichen Erklärung verfügbar. Ihr Konto auf X / Twitter.
Die Zuschreibung an Lazarus ist keine Überraschung für diejenigen, die der jüngsten Geschichte der großen Cyberkriminalität folgen: Dieses Kollektiv hat sich in den letzten Jahren mit mehreren Milliarden Dollar Subtraktionen im kritischen Ökosystem zusammengeschlossen, einschließlich einer weiteren massiven Operation gegen Drift, die in vergleichbaren Zahlen geschätzt wurde. Forschungsunternehmen und Regierungen haben dokumentiert, wie diese Akteure technische und menschliche Ressourcen zur Umsetzung komplexer Kampagnen kombinieren.
Die praktische Wirkung erreichte auch Protokolle, die rsETH als Sicherheit akzeptiert hatten. Aave berichtete zum Beispiel, dass es bis zur Klärung der Situation Einlagen und Kredite mit rsETH blockierte; seine offizielle Ankündigung ist bei X / Twitter. Diese Reaktion zeigt die Kaskade von Vorsichtsmaßnahmen, die aktiviert werden können, wenn ein Referenzvermögen die Zuverlässigkeit verliert: nicht nur das angegriffene Projekt leidet, sondern diejenigen, die es in ihre Märkte integriert hatten.
Neben dem unmittelbaren wirtschaftlichen Schock unterstreicht dieser Vorfall wieder zwei strukturelle Schwächen: die Abhängigkeit externer PRC-Knoten und die Fragilität einiger kettenübergreifender Verifikationsmechanismen. Wenn eine Ebene, die die Validierung zentralisiert, kompromittiert wird, ist das gesamte Vertrauen, das ihm übertragen worden war, unversehrt. Die technische Gemeinschaft diskutiert seit langem Lösungen: eine größere Dezentralisierung von Orakeln, redundanten Verifikationssystemen und kryptographischen Tests, um die Authentizität von Nachrichten zu überprüfen, ohne sich auf eine kleine Menge zuverlässiger Knoten zu verlassen.
Die Spannung zwischen Rückverfolgbarkeit und Privatsphäre erscheint auch: die Operation benutzte Mischer wie Tornado Cash, um die Spur der Fonds zu verbergen. Obwohl alle Bewegungen in öffentlichen Blockchains auftreten, erschwert die Kombination von Nutzungstechniken und der Geschwindigkeit der Umwandlungen die Tracking-Arbeit, obwohl die forensischen Labors in Lockchain und die Sicherheitskräfte manchmal geschafft haben, das Geld zu verfolgen und Vermögenswerte zurückzugewinnen, wenn es operative Fehler des Angreifers gibt.
Für Benutzer und Protokolladministratoren bringt dies klare Lektionen: Sicherheit endet nicht im Smart Contract. Vertragsaudits sind immer noch notwendig, aber nicht ausreichend; es ist notwendig, die Sicherheit als Kette zu betrachten, in der jeder Link - PRC-Knoten, Kettenübermittlung, Indexierung und Orakel - gegen kombinierte Angriffe und Sabotage der Verfügbarkeit beständig sein muss.
Diejenigen, die an der Analyse des Phänomens und der Berichte über staatliche Akteure interessiert sind, können Ressourcen von spezialisierten Unternehmen und Technologien konsultieren. LayerZero und KelpDAO veröffentlichten Updates auf ihren offiziellen Kanälen und Organisationen wie Ellips oder Kettenanalyse sie veröffentlichen oft Forschung über illegale Ströme in Ketten. Für einen breiteren Medienkontext wie Reuters und CoinDesk regelmäßig diese Vorfälle und ihren geopolitischen Hintergrund abdecken.
Kurz gesagt, der Angriff auf KelpDAO ist eine rohe Erinnerung, dass DeFi Innovation und interchain Interoperabilität echte Vorteile bringen, aber sie erweitern auch die Angriffsfläche. Die in den kommenden Monaten angenommene technische und regulatorische Reaktion wird entscheidend sein, um das Vertrauen der Nutzer und Investoren zu stärken: Ohne Kontrollen und widerstandsfähige Architektur bleibt das Risiko von Großereignissen eine latente Bedrohung.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...