LayerZero enthüllt Angriffspfad hinter dem 292-Millionen-Dollar-rsETH-Exploit
Crime

LayerZero enthüllt Angriffspfad hinter dem 292-Millionen-Dollar-rsETH-Exploit

Von germanlbn

Ein Single-DVN-Setup ermöglichte einen Exploit im Wert von 290 Millionen US-Dollar, da Angreifer RPC-Knoten manipulierten und Verifizierungsschutzmaßnahmen umgingen.

Ein schwerwiegender Sicherheitsvorfall hat dem rsETH von KelpDAO etwa 290 Millionen US-Dollar entzogen und Schockwellen auf dem Kryptomarkt ausgelöst. Die Ergebnisse deuten auf eine hochkoordinierte Operation hin, die wahrscheinlich mit der Lazarus Group und ihrer Untergruppe TraderTraitor zusammenhängt. LayerZero hat nun detailliert beschrieben, wie sich die Sicherheitsverletzung entwickelt hat, und den genauen Angriffsweg hinter dem Exploit offengelegt.

LayerZero bestätigt, dass bei Exploit kein Protokollverstoß vorliegt

Die dezentrale Plattform LayerZero hat neue Details über den Angriff bekannt gegeben, der dazu geführt hat290-Millionen-Dollar-Ausbeutung von KelpDAOs rsETHam 18. April 2026. Erste Erkenntnisse deuten auf eine gut koordinierte Operation im Zusammenhang mit der nordkoreanischen Lazarus-Gruppe, insbesondere ihrer TraderTraitor-Einheit, hin.

Während der Vorfall im gesamten Cross-Chain-Sektor Bedenken hervorrief, betonte LayerZero, dass der Schaden begrenzt sei. Es waren keine anderen Vermögenswerte oder Anwendungen im Protokoll betroffen.

Laut LayerZero haben die Angreifer weder das Protokoll selbst noch seine Kerninfrastruktur verletzt. Stattdessen zielten sie auf die nachgelagerten RPC-Systeme ab, die vom Decentralized Verifier Network (DVN) von LayerZero Labs verwendet werden. 

Durch die Kompromittierung zweier unabhängiger RPC-Knoten ersetzten die Angreifer wichtige Binärdateien und führten bösartiges Verhalten ein, das darauf abzielte, Verifizierungsprozesse in die Irre zu führen.

Der Zugriff auf die RPC-Liste des DVN ermöglichte es Angreifern, eine präzise Spoofing-Strategie auszuführen. Ihre modifizierten Knoten sendeten gefälschte Transaktionsdaten ausschließlich an das DVN, während sie allen anderen Beobachtern genaue Daten präsentierten. 

Daher stellten interne Überwachungstools während des Angriffsfensters keine Inkonsistenzen fest. Sobald die bösartige Aktivität endete, löschten die veränderten Knoten ihre Spuren, indem sie Protokolle löschten und kompromittierte Systeme deaktivierten.

Selbst mit diesem Zugriff mussten Angreifer die Backups des Systems umgehen. Sie starteten einen DDoS-Angriff auf die fehlerfreien RPC-Knoten und schalteten diese offline. Dies zwang den DVN dazu, auf die kompromittierten Knoten umzusteigen. Infolgedessen wurden Transaktionen genehmigt, die tatsächlich nie in der Kette stattfanden.

Strafverfolgungsbehörden beteiligen sich an Untersuchung des KelpDAO-Exploits im Wert von 290 Millionen US-Dollar

LayerZero stellte klar, dass seine DVN-Infrastruktur einem vertrauensminimierten Modell folgt und interne und externe RPC-Anbieter kombiniert. Die von KelpDAO betriebene rsETH-Anwendung basierte jedoch auf einer einzigen DVN-Konfiguration. Durch dieses Setup entstand ein Single Point of Failure, sodass die gefälschte Nachricht ohne unabhängige Überprüfung weitergeleitet werden konnte.

Die Branchenberatung von LayerZero hat Integratoren immer wieder dazu geraten, Multi-DVN-Konfigurationen einzuführen. Solche Setups erfordern einen Konsens zwischen mehreren unabhängigen Prüfern, wodurch das Risiko einer Kompromittierung einzelner Komponenten verringert wird. In diesem Fall bedeutete das Fehlen von Redundanz, dass kein zusätzlicher DVN die gefälschten Daten anfechten konnte.

Trotz des Ausmaßes derausbeuten, bestätigte die Blockchain, dass es in ihrem gesamten Ökosystem keine Ansteckung gab. Eine vollständige Überprüfung der Integrationen ergab, dass alle anderen Anwendungen davon nicht betroffen waren. Das modulare Sicherheitsdesign spielte eine Schlüsselrolle bei der Beschränkung des Vorfalls auf den rsETH-Einsatz von KelpDAO.

Darüber hinaus enthält der Bericht die internen Sicherheitsmaßnahmen von LayerZero. Systeme unterliegen strengen Zugriffskontrollen, Überwachung auf Geräteebene und segmentierten Umgebungen. 

Externe Sicherheitsanbieter unterstützen die laufende Aufsicht, während das Unternehmen kurz vor dem Abschluss seines SOC 2-Audits steht. Diese Kontrollen verhinderten, dass Angreifer auf das DVN selbst zugreifen konnten, und beschränkten den Verstoß auf Manipulationen auf RPC-Ebene.

Nach dem Vorfall wurden alle betroffenen RPC-Knoten ersetzt und das LayerZero Labs DVN ist wieder voll betriebsbereit. Das Unternehmen hat sich auch entschieden gegen Single-DVN-Konfigurationen ausgesprochen. Anwendungen, die solche Setups verwenden, werden in Zukunft keine Verifizierungsunterstützung mehr erhalten.

Mittlerweile sind Strafverfolgungsbehörden aus mehreren Gerichtsbarkeiten an den Ermittlungen beteiligt. LayerZero arbeitet mit Partnern und Sicherheitsgruppen, darunter Seal911, zusammen, um gestohlene Gelder aufzuspüren und zurückzugewinnen.

Quelle: Live Bitcoin News

germanlbn

Über den Autor

germanlbn

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert