Ein Single-DVN-Setup ermöglichte einen 290-Millionen-Dollar-Exploit, als Angreifer RPC-Knoten manipulierten und Verifizierungssicherungen umgingen.
Ein schwerwiegender Sicherheitsvorfall entzog KelpDAOs rsETH etwa 290 Millionen Dollar und löste Schockwellen auf dem Kryptomarkt aus. Die Erkenntnisse deuten auf eine hochkoordinierte Operation hin, die wahrscheinlich mit der Lazarus Group und ihrer Untergruppe TraderTraitor in Verbindung steht. LayerZero hat nun detailliert dargelegt, wie der Bruch vonstatten ging, und den genauen Angriffspfad hinter dem Exploit aufgedeckt.
LayerZero bestätigt keine Protokollverletzung beim Exploit
Die dezentrale Plattform LayerZero hat neue Details zu dem Angriff offengelegt, der am 18. April 2026 zum 290-Millionen-Dollar-Exploit von KelpDAOs rsETH führte. Erste Erkenntnisse deuten auf eine hochkoordinierte Operation hin, die mit Nordkoreas Lazarus Group, insbesondere ihrer TraderTraitor-Einheit, in Verbindung steht.
Während der Vorfall Bedenken im gesamten Cross-Chain-Sektor aufwarf, betonte LayerZero, dass der Schaden begrenzt blieb. Keine anderen Assets oder Anwendungen auf dem Protokoll waren betroffen.
Laut LayerZero haben die Angreifer das Protokoll selbst oder seine Kerninfrastruktur nicht verletzt. Stattdessen zielten sie auf die nachgelagerten RPC-Systeme ab, die vom Decentralized Verifier Network (DVN) von LayerZero Labs verwendet werden.
— LayerZero (@LayerZero_Core) April 20, 2026
Durch die Kompromittierung zweier unabhängiger RPC-Knoten ersetzten die Angreifer wichtige Binärdateien und führten bösartiges Verhalten ein, das darauf ausgelegt war, Verifizierungsprozesse in die Irre zu führen.
Der Zugriff auf die RPC-Liste des DVN ermöglichte es den Angreifern, eine präzise Spoofing-Strategie auszuführen. Ihre modifizierten Knoten sendeten gefälschte Transaktionsdaten ausschließlich an das DVN, während sie allen anderen Beobachtern korrekte Daten präsentierten.
Daher erkannten interne Monitoring-Tools während des Angriffszeitraums keine Unstimmigkeiten. Nach Beendigung der bösartigen Aktivitäten löschten die veränderten Knoten Spuren, indem sie Protokolle löschten und kompromittierte Systeme deaktivierten.
Selbst mit diesem Zugang mussten die Angreifer die Backups des Systems umgehen. Sie starteten einen DDoS-Angriff auf die gesunden RPC-Knoten und nahmen sie offline. Das zwang das DVN, auf die kompromittierten Knoten umzuschalten. Infolgedessen genehmigte es Transaktionen, die niemals tatsächlich on-chain stattfanden.
Strafverfolgungsbehörden schließen sich der Untersuchung zum 290-Millionen-Dollar-KelpDAO-Exploit an
LayerZero erklärte, dass seine DVN-Infrastruktur einem vertrauensminimierten Modell folgt, das interne und externe RPC-Anbieter kombiniert. Die von KelpDAO betriebene rsETH-Anwendung verließ sich jedoch auf eine Single-DVN-Konfiguration. Dieses Setup schuf einen Single Point of Failure, der es der gefälschten Nachricht ermöglichte, ohne unabhängige Verifizierung durchzukommen.
Die Branchenrichtlinien von LayerZero haben Integratoren durchgängig geraten, Multi-DVN-Konfigurationen zu übernehmen. Solche Setups erfordern einen Konsens mehrerer unabhängiger Verifizierer, was das Risiko einer einzelnen kompromittierten Komponente verringert. In diesem Fall bedeutete das Fehlen von Redundanz, dass kein zusätzliches DVN die gefälschten Daten in Frage stellen konnte.
Trotz des Ausmaßes des Exploits bestätigte die Blockchain Null Ansteckungseffekte in ihrem Ökosystem. Eine vollständige Überprüfung der Integrationen zeigte, dass alle anderen Anwendungen unbeeinflusst blieben. Ein modulares Sicherheitsdesign spielte eine Schlüsselrolle dabei, den Vorfall auf KelpDAOs rsETH-Bereitstellung zu beschränken.
Darüber hinaus enthält der Bericht die internen Sicherheitsmaßnahmen von LayerZero. Die Systeme arbeiten unter strengen Zugangskontrollen, Monitoring auf Geräteebene und segmentierten Umgebungen.
Externe Sicherheitsanbieter unterstützen die laufende Überwachung, während das Unternehmen die Fertigstellung seiner SOC-2-Prüfung näher rückt. Diese Kontrollen verhinderten, dass Angreifer auf das DVN selbst zugreifen konnten, und beschränkten den Bruch auf Manipulationen auf RPC-Ebene.
Nach dem Vorfall wurden alle betroffenen RPC-Knoten ersetzt, und das LayerZero Labs DVN ist wieder voll funktionsfähig. Das Unternehmen hat auch eine klare Haltung gegen Single-DVN-Konfigurationen eingenommen. Anwendungen, die solche Setups verwenden, erhalten zukünftig keine Verifizierungsunterstützung mehr.
Strafverfolgungsbehörden in mehreren Rechtsgebieten sind nun in die Untersuchung involviert. LayerZero arbeitet gemeinsam mit Partnern und Sicherheitsgruppen, einschließlich Seal911, daran, die gestohlenen Gelder zurückzuverfolgen und wiederzuerlangen.
Schreibe einen Kommentar