Ein rekordverdächtiger Diebstahl digitaler Vermögenswerte hat das dezentralisierte Finanz- (DeFi-) Ökosystem im Wert von ungefähr 980 Milliarden US-Dollar destabilisiert. Am 18. April 2024 (Korea-Zeit) erlitt das DeFi-Projekt Kelp DAO einen Sicherheitsvorfall, der zu einem Diebstahl von rsETH im Wert von 290 Millionen US-Dollar (Kelp DAO Restaked Ethereum) führte. Damit übertraf es den Hack am 2. April beim Drift DEX im Wert von 280 Millionen US-Dollar und wurde laut der zugrunde liegenden Quellenlage zum größten Diebstahl digitaler Vermögenswerte des Jahres nach Abflussvolumen.
Angriffsmethodik und Ausnutzung der Bridge
Obwohl der Vorfall bei Kelp DAO seinen Ursprung hatte, strahlte er in das gesamte DeFi-Ökosystem aus. Betroffen waren Bridge-Projekte, die unterschiedliche Blockchain-Netzwerke verbinden, sowie dezentrale Kreditplattformen. Kelp DAO fungiert als Ausgeber eines Liquid-Restaking-Tokens im Ethereum-Restaking-Ökosystem. Dadurch können Nutzer ETH einzahlen und rsETH als Sicherheit oder als Liquidität für andere DeFi-Dienste erhalten.
Der Angreifer nutzte die LayerZero-basierte Bridge, die von Kelp DAO verwendet wird, um betrügerisch ungefähr 116.500 rsETH-Token auszugeben und Gelder extern abzulenken. Am 20. April erklärte LayerZero auf X (ehemals Twitter), dass der Angreifer – mutmaßlich die nordkoreanische Hackergruppe Lazarus – die RPC-Infrastruktur der unteren Ebene verwendet hat, die von seinem dezentralen Verifier-Netzwerk (DVN) zur Transaktionsbestätigung genutzt wird. Anschließend führte der Angreifer DDoS-Angriffe auf legitime RPC-Endpunkte durch und erzwang so das Failover auf die kompromittierte Infrastruktur. Dadurch wurden nicht verifizierte Transaktionen als legitim verarbeitet.
Verantwortungsstreit: LayerZero vs. Kelp DAO
Ein kritischer Streitpunkt entstand im Zusammenhang mit der Nutzung einer einzelnen DVN-Struktur durch Kelp DAO. LayerZero erklärte am 20. April, dass es integrierte Projekte empfohlen habe, eine Multi-DVN-Architektur zu übernehmen, die mehrere unabhängige Validatoren kombiniert. Kelp DAO nutzte jedoch zur Zeit der Sicherheitslücke eine „1-of-1“-Konfiguration, die ausschließlich auf dem einzelnen DVN von LayerZero basierte. Ein einzelner Validator erzeugt damit einen einzigen Single Point of Failure ohne ausreichende unabhängige Filtermechanismen.
Kelp DAO konterte am 21. April über X und behauptete, dass die umstrittene „1-of-1“-DVN-Konfiguration keine außergewöhnliche Wahl gewesen sei, sondern vielmehr als Standardstruktur in LayerZeros Dokumentation und Deployment-Beispielen dargestellt werde. Beide Parteien haben effektiv einander die Verantwortung für das Auftreten des Vorfalls zugeschoben.
Kaskadierende Schäden: Aave und systemisches Risiko
Die Sicherheitslücke ging über die internen Systeme von Kelp DAO hinaus. Der Angreifer hinterlegte das betrügerisch ausgegebene rsETH als Sicherheit auf großen DeFi-Kreditplattformen, darunter Aave, und nahm liquide Vermögenswerte wie ETH auf. Dadurch entstand bei Aave ein Forderungsausfall in Höhe von über 200 Millionen US-Dollar. Obwohl die Smart Contracts von Aave nicht direkt gehackt wurden, erlitt die Plattform Verluste, weil der externe Sicherungswert (rsETH) im Wert einbrach.
Der Vorfall legte strukturelle Schwachstellen offen, die für DeFi-Kreditplattformen typisch sind. Diese Plattformen arbeiten unter der Annahme, dass Sicherungswerte und Liquidationssysteme normal funktionieren. Wenn die Sicherheit aus Bridge-Hacks stammt, die wertlose Vermögenswerte erzeugen, scheitert die zugrunde liegende Ökonomie: Was wie ein ordnungsgemäß besichertes Kreditgeschäft aussieht, wird zu einem Plattformverlust. Der Vorfall zeigte, dass große Kreditplattformen gemeinsam Strukturen zur Ausgabe externer Assets, Bridge-Architekturen und Validator-Risiken verwalten müssen.
DeFi United Recovery Fund übertrifft Verlust
Um die Folgen zu adressieren, etablierte die DeFi-Branche, angeführt von Aave, eine gemeinsame Wiederherbeitungsinitiative namens „DeFi United“. Dieser Fonds nutzt Ethereum-Beiträge mehrerer Protokolle und Teilnehmer, um die rsETH-Sicherheit wiederherzustellen und betroffenen Nutzern die Rückgewinnung ihrer Vermögenswerte zu ermöglichen.
Stand 30. April hatte der Wiederherstellungsfonds den Verlustbetrag übertroffen. Laut der Website von DeFi United wurden ungefähr 137.610 ETH eingesammelt, was 307,15 Millionen US-Dollar entspricht – etwa 6% über dem Diebstahlsbetrag von 290 Millionen US-Dollar. Zu den großen Geldgebern zählten das Ethereum-Layer-2-Netzwerk Arbitrum, das Ethereum-Infrastrukturunternehmen Consensys und der Gründer Joseph Lubin, das Layer-2-Projekt Mantle, Aave und der Gründer Stani Kulechov, das Restaking-Protokoll EtherFi, LayerZero, das Ethereum-Liquid-Staking-Projekt Lido sowie das dezentrale Speicherprojekt Golem. Teile der eingeworbenen Gelder bleiben jedoch weiterhin von DAO-Abstimmungen und den Prozeduren zur Freigabe eingefrorener Arbitrum-Fonds abhängig, was darauf hindeutet, dass die Entschädigung in Phasen verteilt wird. Die großen Stakeholder des Ökosystems schließen die Sicherheitslücke faktisch durch koordinierte Beiträge.
Herausforderungen bei der Vertrauenswiederherstellung: Governance und KI-gestärkte Bedrohungen
Fachleute warnen, dass der Wiederaufbau des DeFi-Vertrauens trotz erfolgreicher Fonds-Rückgewinnung Zeit erfordern wird. Während der Eindämmung des Vorfalls fror Aave rsETH ein, und das Arbitrum Security Committee fror ungefähr 30.766 ETH in den Hacker-Fonds ein. Obwohl diese Notfallmaßnahmen weiteren Schaden verhinderten, warfen sie zugleich Fragen zur Dezentralisierung auf, die DeFi betont. Mong Seo-woo, Mitgründer von Undefined Labs, sagte am 30. April gegenüber Digital Asset: „Dieser Vorfall hat die Skepsis darüber erhöht, was DeFi von traditionellem Finanzwesen unterscheidet, wenn bestimmte Komitees oder Governance-Strukturen Gelder während Krisen einfrieren können. In Zukunft müssen Communities dezentrale Governance-Frameworks für außergewöhnliche Situationen wie Hacking-Vorfälle ernster diskutieren.“
Eine Expertenanalyse hebt außerdem die Ausgereiftheit von KI-gestärkten DeFi-Angriffen hervor. Forschende beobachten, dass künstliche Intelligenz die Entdeckung von Schwachstellen, die Erstellung von bösartigem Code, Phishing- und Social-Engineering-Angriffe beschleunigt. Verena Ross, Vorsitzende der European Securities and Markets Authority (ESMA), warnte am 24. April, dass KI das Risiko und die Geschwindigkeit von Cyberangriffen auf den Finanzsektor erhöhen kann. Das US-Sicherheitsmedium Wired berichtete am 22. April, dass nordkoreanische Hackergruppen KI genutzt haben, um bösartigen Code zu schreiben und betrügerische Unternehmenswebsites für den Diebstahl digitaler Vermögenswerte zu erstellen.
Song Chang-seok, Web3 Director bei Blob, sagte gegenüber Digital Asset: „Letztlich kann DeFi nicht allein durch Post-Incident-Spenden oder Freeze-Maßnahmen Vertrauen wiederherstellen. Die Branche muss Strukturen mit Einzel-Validatoren reduzieren, kritische Infrastruktur wie Bridges, RPCs und Oracles kontinuierlich überwachen und KI-gestützte Anomalieerkennung sowie Systeme zur Echtzeit-Blockierung einsetzen, um automatisierte Angriffe abzuwehren.“
FAQ
Q: Wie hoch war der gesamte Wert der Kelp DAO-Sicherheitslücke?
A: Der Diebstahl betraf rsETH im Wert von 290 Millionen US-Dollar, wodurch es sich bis April 2024 nach Abflussvolumen um den größten Diebstahl digitaler Vermögenswerte des Jahres handelte.
Q: Wie hat der Angreifer die LayerZero-Bridge ausgenutzt?
A: Laut der Erklärung von LayerZero vom 20. April manipulierte der Angreifer die RPC-Infrastruktur der unteren Ebene, die von Kelp DAOs einzelner DVN verwendet wird, und führte dann DDoS-Angriffe auf legitime Endpunkte durch, um das Failover auf die kompromittierte Infrastruktur zu erzwingen. So konnten nicht verifizierte Transaktionen als gültig verarbeitet werden.
Q: Hat der Wiederherstellungsfonds DeFi United den Verlust ausgeglichen?
A: Ja. Stand 30. April hatte der Fonds ungefähr 137.610 ETH (307,15 Millionen US-Dollar) eingesammelt und lag damit etwa 6% über dem Verlust von 290 Millionen US-Dollar, auch wenn die vollständige Verteilung weiterhin von Governance-Verfahren abhängig ist.
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
Verwandte Artikel
Ethereum Applications Guild startet, um die Entwicklung nativer Apps zu unterstützen
Laut Ethereum Korea wurde die Ethereum Applications Guild (EAG), eine globale, gemeinnützige Kooperationsorganisation, kürzlich ins Leben gerufen, um das Ethereum-Anwendungs-Ökosystem zu unterstützen. EAG konzentriert sich auf die Entwicklung nativer Ethereum-Anwendungen statt auf Infrastruktur, was eine Veränderung im Ökosystem widerspiegelt
GateNews1Std her
Bitcoin durchbricht die Marke von 80.000, MediaTek legt mit einem Kurslimit zu und friert den Handel ein, Aktienmärkte in Taiwan und Korea erreichen erneut neue Höchststände
Unter verbesserter globaler Risikoneigung ist Bitcoin über 80.000 US-Dollar ausgebrochen und erreichte ein Hoch von 80.328 US-Dollar; ETH liegt bei knapp 2.400 US-Dollar, DOGE steigt um mehr als 5%. Der taiwanesische Aktienmarkt durchbrach die Marke von 40.000 Punkten: MediaTek stieg direkt bei Börseneröffnung auf das Tageshoch, TSMC markierte ein neues Hoch. Auch der südkoreanische KOSPI erreichte einen historischen Höchststand. Getrieben durch Quartalsberichte wie von Apple und Hoffnungen auf KI stieg der MSCI-Index für Asien-Aktien; insgesamt kehrte die Marktzuversicht zurück.
ChainNewsAbmedia1Std her
Die Ethereum Foundation verkauft 10.000 ETH an Bitmine für 23 Millionen US-Dollar und erreicht in einer Woche 47 Millionen US-Dollar
Laut The Block verkaufte die Ethereum Foundation am Freitag erneut 10.000 ETH im Gegenwert von ungefähr 23 Millionen US-Dollar an Tom Lees Bitmine Immersion Technologies. Die jüngste Transaktion bringt die kumulierten ETH-Verkäufe an Bitmine auf rund 47 Millionen US-Dollar innerhalb einer Woche, wobei die Stiftung an
GateNews1Std her
Bitcoin, Ethereum und HYPE Holdings des Krypto-Händlers Huang Li-cheng sehen über 1,64 Mio. US-Dollar unrealisierte Gewinne
Laut Hyperbot-Daten haben die Long-Positionen des Krypto-Traders Huang Li-cheng in Bitcoin, Ethereum und HYPE heute nicht realisierte Gewinne von über 1,64 Millionen US-Dollar erzielt, bei einer Rendite auf das investierte Kapital von 70,91%.
GateNews2Std her
Wal „pension-usdt.eth“ steht bei BTC- und ETH-3x-Short-Positionen einem schwebenden Verlust von über $16M gegenüber
Gate News-Nachricht: Während der Markt steigt, hat der Whale „pension-usdt.eth“ mit den Holdings $BTC und $ETH eine Short-Position von 3x nun einen schwebenden Verlust von über 16 Millionen US-Dollar.
GateNews2Std her
ETH-Whale mit Long-Position über 80.000 Tokens sieht 5,89 Millionen US-Dollar nicht realisierte Gewinne
Laut Kettenanalyst Ai Yi hat ein Wal, der 80.000 ETH in Long-Positionen hält, zum 4. Mai nicht realisierte Gewinne im Wert von 5,89 Millionen US-Dollar. Die beiden Adressen zusammen halten 186 Millionen US-Dollar in ETH zu einem durchschnittlichen Einstiegspreis von 2.265 US-Dollar, wobei die Positionen eröffnet wurden am
GateNews2Std her
