rsETH-Kryptodiebstahl über 293 Millionen Dollar: Wie ein Bridge-Hack einen Kaskadenkollaps in DeFi auslöste
Im April 2026 führte ein Hackerangriff auf eine Cross-Chain-Bridge, die auf LayerZero basiert, zum Diebstahl von 116.500 rsETH-Token – äquivalent zu rund 293 Millionen Dollar. Der Vorfall blieb nicht auf Verluste bei einem Protokoll beschränkt: Aufgrund der tiefen Integration von rsETH in das dezentrale Finanzökosystem breitete sich die Auswirkung rasch auf mindestens neun weitere Plattformen aus, darunter Aave. Dieses Ereignis wurde zum größten Kryptodiebstahl des Jahres und unterstrich die Vulnerabilität vernetzter DeFi-Protokolle.
Anatomie der Schwachstelle: Warum rsETH zum Bruchpunkt wurde
rsETH ist ein Restaking-Token von Kelp DAO, der „re-staked“ ETH repräsentiert. Nutzer können Assets wie stETH oder cbETH einzahlen und erhalten rsETH, das Staking-Belohnungen behält, während es liquide und in anderen DeFi-Anwendungen einsetzbar wird. Dank dieser Funktionalität erlangte rsETH weite Verbreitung: Es wird in Liquiditäts-Pools verwendet, als Sicherheit für Kredite und in Yield-Strategien.
Diese Vielseitigkeit machte rsETH jedoch zu einem systemischen Risiko. Der Angriff zielte nicht auf Kelp DAO selbst ab, sondern auf die Cross-Chain-Bridge, die LayerZero-Infrastruktur nutzt, um Assets zwischen Blockchains zu transferieren. Der Angreifer nutzte eine Schwachstelle im Mechanismus zur Verifizierung von Cross-Chain-Nachrichten aus, um gefälschte Transaktionen zu erzeugen und Token abzuheben, ohne dass entsprechende Reserven vorhanden waren.
Kaskadeneffekt: Wenn ein Protokoll das gesamte Ökosystem in den Abgrund reißt
Nach dem Diebstahl fiel der Preis von rsETH innerhalb von Stunden um 20 %. Das Hauptproblem war jedoch nicht die Volatilität – sondern die Integration des Assets in Dutzende von Protokollen. Beispielsweise:
- Aave fror umgehend alle Märkte im Zusammenhang mit rsETH ein, um neue Einlagen und Kredite gegen dieses Asset zu verhindern.
- Liquiditäts-Pools auf DEXes gerieten durch Massenabhebungen aus dem Gleichgewicht.
- Mehrere automatisierte Yield-Strategien wurden von den Projektteams manuell gestoppt.
Laut Cyvers waren mindestens neun Protokolle von teilweiser oder vollständiger Insolvenz bedroht. Wie Meir Dolev, der technische Direktor des Unternehmens, feststellte: „Das Protokoll war nur drei Minuten davon entfernt, weitere 100 Millionen Dollar zu verlieren“, doch das rechtzeitige Blacklisting der Adresse des Angreifers verhinderte weitere Verluste.
Technische Details des Angriffs: Wo hat der Schutz versagt?
Obwohl der vollständige Root-Cause-Analysis-(RCA)-Bericht noch nicht veröffentlicht wurde, weisen Experten auf mögliche Kompromittierungsvektoren hin:
- Unzureichende Verifizierung der Quellnachricht in der LayerZero-basierten Bridge-Konfiguration.
- Fehlende Zeitverzögerungen oder Multi-Sig-Mechanismen für kritische Asset-Transfer-Operationen.
- Übermäßig vertrauensvolles Modell zwischen Smart Contracts auf verschiedenen Netzwerken ohne zusätzliche Verifizierungsebene.
LayerZero positioniert sich als „ultra-leichtgewichtige“ Lösung für Cross-Chain-Interaktionen, doch in diesem Fall führte das Sparen an Überprüfungen zu katastrophalen Folgen. Dies wirft eine wichtige Frage auf: Wie sicher sind moderne Cross-Chain-Infrastrukturen im großen Maßstab?
Wichtige Erkenntnisse
- Systemisches Risiko in DeFi wächst mit der Komposabilität: Je mehr Protokolle dasselbe Asset nutzen, desto höher die Chance auf einen Kaskadenkollaps.
- Cross-Chain-Bridges bleiben einer der anfälligsten Infrastrukturpunkte: Über 60 % aller großen DeFi-Diebstähle in der Geschichte hängen mit Bridges zusammen.
- Schnelle Teamreaktionen können zusätzliche Verluste verhindern: In diesem Fall rettete das Blacklisting der Adresse 100 Millionen Dollar.
- Restaking-Token erfordern einen speziellen Sicherheitsansatz, insbesondere wenn sie als Sicherheit genutzt werden.
- Integration mit externen Systemen (z. B. LayerZero) erfordert unabhängige Audits, auch wenn das Hauptprotokoll bereits geprüft wurde.
Die Zukunft von DeFi: Lektionen aus der Katastrophe
Nach dem Vorfall pausierte Kelp DAO die rsETH-Verträge auf Ethereum Mainnet und L2-Netzwerken. Das Team arbeitet mit LayerZero, Unichain, Auditoren und Cybersicherheitsexperten an einer umfassenden Untersuchung.
Dieser Fall unterstreicht die Notwendigkeit, vom „Vertraue, aber verifiziere“-Paradigma zu „Vertraue nicht, verifiziere ständig“ zu wechseln. Insbesondere sollten Entwickler Folgendes in Betracht ziehen:
- Einführung von Zeitverzögerungsmechanismen für große Transfers über Bridges.
- Nutzung von Second-Level-Oracles, um Asset-Zustände vor dem Transfer zu verifizieren.
- Erstellung von automatisierten Triggern, um Integrationen bei anomaler Aktivität zu pausieren.
DeFi entwickelt sich weiter, doch ohne strengere Ingenieursdisziplin und Interprotokoll-Koordination werden solche Vorfälle sich wiederholen – mit noch größeren Verlusten.
— Editorial Team
Noch keine Kommentare.