LayerZero Labs hat seinen Incident-Report zum KelpDAO-Bridge-Angriff veröffentlicht und erklärt, dass etwa 292 Millionen US-Dollar an rsETH gestohlen wurden, nachdem Angreifer die von seinem Verifikationsnetzwerk verwendete RPC-Infrastruktur vergiftet und Richtlinienänderungen rund um Single-Signer-Konfigurationen erzwungen hatten.
Summary
- LayerZero sagte, KelpDAO sei für etwa 290 Millionen US-Dollar, oder ungefähr 116.500 rsETH, in einem Angriff ausgenutzt worden, der auf die Single-DVN-Setup von rsETH isoliert war.
- Das Unternehmen sagte, erste Hinweise deuteten auf den mit Nordkorea verknüpften TraderTraitor hin und bezeichnete den Exploit als Kompromittierung der Infrastruktur statt als Protokollfehler.
- LayerZero sagte, es werde das Signieren von Nachrichten für Anwendungen mit 1/1 DVN-Konfigurationen stoppen und dränge betroffene Integratoren zu Multi-DVN-Redundanz.
LayerZero Labs hat einen detaillierten Bericht zum KelpDAO-Exploit veröffentlicht und bestätigt, dass Angreifer etwa 116.500 rsETH, im Wert von etwa 292 Millionen US-Dollar, gestohlen haben, indem sie die Downstream-Infrastruktur kompromittierten, die mit der Verifikationsschicht verbunden ist, welche für die Cross-Chain-Konfiguration von KelpDAO genutzt wird.
Das Unternehmen sagte, der Vorfall sei auf das rsETH-Setup von KelpDAO beschränkt gewesen, weil die Anwendung auf eine 1-von-1-DVN-Konfiguration setzte, mit LayerZero Labs als einzigem Verifizierer — ein Design, das LayerZero so bezeichnete, dass es direkt der bestehenden Empfehlung widerspreche, Anwendungen mit diversifizierten Multi-DVN-Setups mit Redundanz zu nutzen.
In seiner Stellungnahme sagte LayerZero, es habe „keine Kontagion“ zu anderen Cross-Chain-Assets oder Anwendungen gegeben, und argumentierte, dass die modulare Sicherheitsarchitektur des Protokolls die Einschlagradius eingedämmt habe, selbst als eine einzelne Anwendungs-Konfiguration auf Ebene fehlschlug.
How the attack worked {#how-the-attack-worked}
Laut dem Bericht von LayerZero zielte der Angriff am 18. April 2026 auf die RPC-Infrastruktur ab, auf die sich das LayerZero Labs DVN verließ, statt die LayerZero- Protokoll, Schlüsselverwaltung oder die DVN-Software selbst auszunutzen.
Das Unternehmen sagte, die Angreifer hätten Zugriff auf die Liste der RPCs erhalten, die vom DVN genutzt werden, zwei Knoten kompromittiert, die auf getrennten Clustern liefen, Binaries auf op-geth-Nodes ersetzt und anschließend bösartige Payloads verwendet, um dem Verifizierer gefälschte Transaktionsdaten zuzuführen, während es gleichzeitig wahrheitsgemäße Daten an andere Endpunkte zurückgab — einschließlich interner Monitoring-Services.
Um den Exploit abzuschließen, starteten die Angreifer außerdem DDoS-Angriffe auf nicht kompromittierte RPC-Endpunkte, was ein Failover hin zu den vergifteten Nodes auslöste und es dem LayerZero Labs DVN ermöglichte, Transaktionen zu bestätigen, die in Wirklichkeit nie stattgefunden hatten.
Ermittlungen außerhalb des Forensik-Kontexts stimmten im Großen und Ganzen mit dieser Beschreibung überein. Chainalysis sagte, die Angreifer, die mit der Lazarus Group Nordkoreas in Verbindung stünden, speziell TraderTraitor, hätten keinen Smart-Contract-Bug ausgenutzt, sondern stattdessen eine Cross-Chain-Nachricht gefälscht, indem sie interne RPC-Nodes vergifteten und externe überwältigten, in einem Single-Point-of-Failure-Verifikationssetup.
Security changes {#security-changes}
LayerZero sagte, die unmittelbare Reaktion habe das Veraltbarmachen und Ersetzen aller betroffenen RPC-Nodes umfasst, die LayerZero Labs DVN wieder in den Betrieb zurückgebracht und dabei Strafverfolgungsbehörden kontaktiert, während es mit Branchenpartnern und Seal911 zusammenarbeitete, um die gestohlenen Gelder nachzuverfolgen.
Noch wichtiger: Das Unternehmen ändert, wie es mit riskanten Konfigurationen umgeht. In der Stellungnahme sagte LayerZero, sein DVN „wird keine Nachrichten signieren oder beglaubigen von Anwendungen, die eine 1/1-Konfiguration verwenden“, ein direkter Richtungswechsel, der darauf abzielt, ein erneutes Auftreten des KelpDAO-Fehlermodus zu verhindern.
Das Unternehmen wendet sich zudem an Projekte, die weiterhin 1/1-Konfigurationen nutzen, um sie auf Multi-DVN-Modelle mit Redundanz umzustellen — und gesteht damit effektiv ein, dass Konfigurationsflexibilität ohne erzwungene Sicherheitsleitplanken in der Praxis zu großzügig war.
Das Attribution-Bild ist ebenfalls härter geworden. Chainalysis verknüpfte den Exploit mit der Lazarus Group Nordkoreas und speziell TraderTraitor, während Nexus Mutual sagte, die gefälschte Nachricht habe 292 Millionen US-Dollar aus der Bridge von KelpDAO in weniger als 46 Minuten abgezogen und damit zu einem der größten DeFi-Verluste des Jahres 2026 gemacht.
Das Ergebnis ist eine vertraute, aber brutale Lektion für Cross-Chain-Infrastruktur: Die Smart Contracts können intakt überleben und das Protokoll kann in der Praxis dennoch scheitern, wenn die Off-Chain-Vertrauensebene schwach genug ist. LayerZero versucht nun zu belegen, dass die richtige Erkenntnis aus dem 292-Millionen-US-Dollar-Bridge-Diebstahl nicht ist, dass die modulare Sicherheit versagt hat, sondern dass es der eigentliche Fehler war, wenn überhaupt jemand ein Single-Signer-Setup betreiben konnte.
