Größter Raubüberfall des Jahres: Hacker erbeutet 292 Millionen Dollar aus Kelp-DAO-Protokoll über Cross-Chain-Brücke
Ein Hackerangriff auf das Liquid-Restaking-Protokoll Kelp DAO führte zum Verlust von über 116.000 rsETH-Token im Wert von etwa 292 Millionen Dollar. Der Vorfall ereignete sich am Abend des 20. April 2026 und zählt zu den größten in der DeFi-Geschichte. Der Angreifer nutzte eine Schwachstelle in der OFT-Standard-Cross-Chain-Brücke aus, sodass die Gelder innerhalb von Minuten abfließen konnten. Das Projektteam pausierte umgehend die Vertragsoperationen und verhinderte so weitere Verluste in Höhe von 100 Millionen Dollar.
Angriffsmechanismus und Schadensausmaß
Der Angreifer finanzierte etwa zehn Stunden vor dem Angriff eine Wallet über den Tornado-Cash-Mixer. Um 17:35 UTC wurde die lzReceive-Funktion im LayerZero-Vertrag ausgelöst, woraufhin die Brücke automatisch 116.500 rsETH-Token (etwa 18 % des Gesamtangebots von 630.000 Token) an eine vom Hacker kontrollierte Adresse übertrug. Die Netzwerke Ethereum und Arbitrum trugen die Hauptlast der Verluste. Versuche, weitere 40.000 rsETH (100 Millionen Dollar) abzuheben, wurden durch das Notfall-Stopp-System blockiert, das 46 Minuten nach dem Angriff aktiviert wurde.
Reaktion des Teams und Auswirkungen auf das Ökosystem
Die Entwickler von Kelp DAO aktivierten eine Notfallpause, die den Einzahlungspool, den Auszahlungsvertrag, das Orakel und den rsETH-Token selbst betraf. Der Betrieb wurde auf dem Mainnet und mehreren Layer-2-Netzwerken eingestellt. Der Vorfall löste Marktpanik aus: Der AAVE-Token fiel um 10 %, da Ängste vor problematischen Schulden auf der Kreditplattform aufkamen. Das Aave-Team fror die rsETH-Märkte in V3 und V4 ein und betonte, dass die Schwachstelle spezifisch für rsETH sei, nicht für ihre Smart Contracts.
Schwachstelle der Cross-Chain-Brücke
Der Angriff hat erneut die Sicherheitsprobleme von Cross-Chain-Brücken aufgezeigt, die häufige Ziele von Hackern sind. Die von Kelp DAO verwendete OFT-Standardbrücke ermöglicht Token-Transfers über mehr als 20 Blockchains, darunter Base, Arbitrum, Linea, Blast, Mantle und Scroll. Experten weisen darauf hin, dass die Komplexität solcher Systeme die Angriffsfläche vergrößert und die Verwendung von Mixern wie Tornado Cash die Rückverfolgung von Geldern erschwert.
Wichtige Erkenntnisse
- Der Hacker erbeutete 292 Millionen Dollar, was 18 % aller rsETH-Token entspricht.
- Der Angriff wurde durch eine Schwachstelle in der OFT-Standard-Cross-Chain-Brücke ermöglicht.
- Kelp DAO verhinderte durch das Anhalten von Verträgen weitere Verluste in Höhe von 100 Millionen Dollar.
- Der Vorfall führte zu einem Preisverfall von AAVE um 10 % und zum Einfrieren der rsETH-Märkte auf Aave.
- Spuren führen zu Tornado Cash, was die Identifizierung des Angreifers erschwert.
— Editorial Team
Noch keine Kommentare.