Ein rekordverdächtiger Diebstahl digitaler Vermögenswerte hat das dezentralisierte Finanz-Ökosystem (DeFi) erschüttert, das auf ungefähr 980 Milliarden US-Dollar beziffert wird. Am 18. April 2024 (Korea-Zeit) erlebte das DeFi-Projekt Kelp DAO eine Sicherheitsverletzung, die zum Diebstahl von rsETH im Wert von 290 Millionen US-Dollar (Kelp DAO Restaked Ethereum) führte. Damit übertraf es den Drift-DEX-Hack im Wert von 280 Millionen US-Dollar vom 2. April und wurde laut den zugrunde liegenden Quellen zum größten Diebstahl digitaler Vermögenswerte des Jahres gemessen am Abflussvolumen.
Angriffsmethode und Ausnutzung der Bridge
Obwohl der Vorfall bei Kelp DAO seinen Ursprung hatte, zog er sich durch das gesamte DeFi-Ökosystem. Betroffen waren Bridge-Projekte, die unterschiedliche Blockchain-Netzwerke verbinden, sowie dezentrale Lending-Plattformen. Kelp DAO fungiert als Emittent für Liquid-Restaking-Token im Ethereum-Restaking-Ökosystem: Dabei können Nutzer ETH einzahlen und rsETH erhalten, um es als Sicherheit oder Liquidität in anderen DeFi-Diensten zu verwenden.
Der Angreifer nutzte die LayerZero-basierte Bridge, die von Kelp DAO verwendet wird, um betrügerisch etwa 116.500 rsETH-Token auszugeben und Gelder extern abzuziehen. Am 20. April erklärte LayerZero auf X (ehemals Twitter), dass der Angreifer, bei dem es sich mutmaßlich um die nordkoreanische Hackergruppe Lazarus handelt, die untere Layer-RPC-Infrastruktur manipuliert habe, die von seinem dezentralen Verifier-Netzwerk (DVN) zur Transaktionsbestätigung genutzt wird. Anschließend führte der Angreifer DDoS-Angriffe auf legitime RPC-Endpunkte durch, wodurch ein Failover auf die kompromittierte Infrastruktur erzwungen wurde. So wurden nicht verifizierte Transaktionen als legitim verarbeitet.
Verantwortungsstreit: LayerZero vs. Kelp DAO
Ein zentraler Streitpunkt entstand im Zusammenhang mit der Nutzung einer einzelnen DVN-Struktur durch Kelp DAO. LayerZero erklärte am 20. April, es habe integrierte Projekte dazu empfohlen, eine Multi-DVN-Architektur zu verwenden, die mehrere unabhängige Validatoren kombiniert. Kelp DAO setzte jedoch zur Zeit der Sicherheitsverletzung eine „1-of-1“-Konfiguration ein, die ausschließlich auf dem einzelnen DVN von LayerZero beruhte. Ein einzelner Validator erzeugt einen einzigen Punkt des Versagens mit unzureichenden unabhängigen Filtermechanismen.
Kelp DAO konterte am 21. April über X und behauptete, dass die umstrittene „1-of-1“-DVN-Konfiguration keine außergewöhnliche Wahl gewesen sei, sondern als Standardstruktur in der LayerZero-Dokumentation und in Bereitstellungsbeispielen dargestellt werde. Beide Parteien machen de facto jeweils die andere für das Zustandekommen des Vorfalls verantwortlich.
Kaskadenschaden: Aave und die Exponierung systemischer Risiken
Der Vorfall ging über die internen Systeme von Kelp DAO hinaus. Der Angreifer hinterlegte das betrügerisch ausgegebene rsETH als Sicherheit auf großen DeFi-Lending-Plattformen, darunter Aave, und lieh damit liquide Vermögenswerte wie ETH. Das führte dazu, dass sich bei Aave mehr als 200 Millionen US-Dollar an uneinbringlichen Forderungen (Bad Debt) ansammelten. Obwohl die Smart Contracts von Aave nicht direkt gehackt wurden, erlitt die Plattform Verluste, weil der externe Sicherheitenwert (rsETH) einbrach.
Der Vorfall legte strukturelle Schwachstellen offen, die in DeFi-Lending-Plattformen angelegt sind. Solche Plattformen arbeiten mit der Annahme, dass Sicherheitenwerte und Liquidationssysteme normal funktionieren. Wenn Sicherheiten aus Bridge-Hacks stammen, die wertlose Assets erzeugen, zerfällt die zugrunde liegende Ökonomie: Was sich als ordnungsgemäß besicherte Kreditvergabe darstellt, wird zu einem Plattformverlust. Der Vorfall zeigte, dass große Lending-Plattformen gemeinsam externe Asset-Ausgabe-Strukturen, Bridge-Architekturen und Validator-Risiken verwalten müssen.
DeFi United Recovery Fund übersteigt den Verlust
Um die Folgen abzufedern, initiierte die DeFi-Branche unter Führung von Aave eine gemeinsame Wiederherstellungsmaßnahme namens „DeFi United“. Der Fonds nutzt Ethereum-Zuwendungen mehrerer Protokolle und Teilnehmer, um die rsETH-Sicherheiten wiederherzustellen und betroffenen Nutzern dabei zu helfen, ihre Vermögenswerte zurückzubekommen.
Stand 30. April hatte der Wiederherstellungsfonds den Verlustbetrag übertroffen. Laut der Website von DeFi United wurden ungefähr 137.610 ETH aufgebracht, was 307,15 Millionen US-Dollar entspricht – rund 6% über dem gestohlenen Betrag von 290 Millionen US-Dollar. Zu den größten Beiträgen zählten das Ethereum-Layer-2-Netzwerk Arbitrum, das Ethereum-Infrastrukturunternehmen Consensys und Gründer Joseph Lubin, das Layer-2-Projekt Mantle, Aave und Gründer Stani Kulechov, das Restaking-Protokoll EtherFi, LayerZero, das Ethereum-Liquid-Staking-Projekt Lido sowie das dezentrale Storage-Projekt Golem. Allerdings unterliegen Teile der aufgebrachten Mittel weiterhin DAO-Abstimmungen und den Verfahren zur Freigabe eingefrorener Arbitrum-Fonds, was darauf hindeutet, dass die Entschädigung in Phasen ausgezahlt wird. Die wichtigsten Stakeholder des Ökosystems schließen die Sicherheitsverletzung faktisch durch koordinierte Beiträge.
Herausforderungen bei der Vertrauenswiederherstellung: Governance und durch KI verstärkte Bedrohungen
Experten warnen, dass der Wiederaufbau des DeFi-Vertrauens trotz erfolgreicher Mittelrückgewinnung Zeit braucht. Während der Eindämmung des Vorfalls fror Aave rsETH ein, und das Arbitrum Security Committee fror ungefähr 30.766 ETH in Hacker-Geldern ein. Obwohl diese Notfallmaßnahmen weitere Schäden verhinderten, warfen sie zugleich Fragen zur Dezentralisierung auf, die DeFi betont. Mong Seo-woo, Mitgründer von Undefined Labs, sagte am 30. April gegenüber Digital Asset: „Dieser Vorfall hat die Skepsis darüber erhöht, was DeFi von klassischem Finanzwesen unterscheidet, wenn bestimmte Ausschüsse oder Governance-Strukturen Gelder in Krisen einfrieren können. In Zukunft müssen Communities dezentrale Governance-Rahmenwerke für außergewöhnliche Situationen wie Hacking-Vorfälle ernster diskutieren.“
Expertanalysen heben außerdem die Ausgereiftheit von durch KI verstärkten DeFi-Angriffen hervor. Forschende beobachten, dass Künstliche Intelligenz die Entdeckung von Schwachstellen, das Erstellen bösartiger Codes, Phishing- und Social-Engineering-Angriffe beschleunigt. Verena Ross, Vorsitzende der European Securities and Markets Authority (ESMA), warnte am 24. April, dass KI das Risiko und die Geschwindigkeit von Cyberangriffen auf den Finanzsektor erhöhen kann. Das US-Sicherheitsmedium Wired berichtete am 22. April, dass nordkoreanische Hackergruppen KI genutzt hätten, um bösartigen Code zu schreiben und betrügerische Unternehmenswebseiten für den Diebstahl digitaler Vermögenswerte zu erstellen.
Song Chang-seok, Web3 Director bei Blob, sagte gegenüber Digital Asset: „Letztlich kann DeFi kein Vertrauen allein dadurch wiederherstellen, dass man sich auf Spenden oder Freeze-Maßnahmen nach dem Vorfall verlässt. Die Branche muss Strukturen mit einzelnen Validatoren reduzieren, kritische Infrastruktur wie Bridges, RPCs und Oracles kontinuierlich überwachen und KI-gestützte Anomalieerkennung sowie Echtzeit-Blockiersysteme einführen, um automatisierte Angriffe abzuwehren.“
FAQ
Q: Wie hoch war der Gesamtwert der Sicherheitsverletzung bei Kelp DAO?
A: Der Diebstahl betraf rsETH-Token im Wert von 290 Millionen US-Dollar und war damit (Stand April 2024) der größte Diebstahl digitaler Vermögenswerte des Jahres gemessen am Abflussvolumen.
Q: Wie hat der Angreifer die LayerZero-Bridge ausgenutzt?
A: Laut dem Statement von LayerZero vom 20. April manipulierte der Angreifer die RPC-Infrastruktur der unteren Ebene, die von Kelp DAOs einzelner DVN genutzt wird, und führte dann DDoS-Angriffe auf legitime Endpunkte durch, um ein Failover auf die kompromittierte Infrastruktur zu erzwingen. Dadurch konnten nicht verifizierte Transaktionen als gültig verarbeitet werden.
Q: Hat der Wiederherstellungsfonds von DeFi United den Verlust ausgleichen können?
A: Ja. Stand 30. April hatte der Fonds ungefähr 137.610 ETH (307,15 Millionen US-Dollar) aufgebracht und lag damit rund 6% über dem Verlust von 290 Millionen US-Dollar. Die vollständige Verteilung bleibt jedoch von Governance-Verfahren abhängig.
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
Verwandte Artikel
Ethereum Applications Guild startet, um die Entwicklung nativer Apps zu unterstützen
Laut Ethereum Korea wurde die Ethereum Applications Guild (EAG), eine globale, gemeinnützige Kooperationsorganisation, kürzlich ins Leben gerufen, um das Ethereum-Anwendungs-Ökosystem zu unterstützen. EAG konzentriert sich auf die Entwicklung nativer Ethereum-Anwendungen statt auf Infrastruktur, was eine Veränderung im Ökosystem widerspiegelt
GateNews1Std her
Bitcoin durchbricht die Marke von 80.000, MediaTek legt mit einem Kurslimit zu und friert den Handel ein, Aktienmärkte in Taiwan und Korea erreichen erneut neue Höchststände
Unter verbesserter globaler Risikoneigung ist Bitcoin über 80.000 US-Dollar ausgebrochen und erreichte ein Hoch von 80.328 US-Dollar; ETH liegt bei knapp 2.400 US-Dollar, DOGE steigt um mehr als 5%. Der taiwanesische Aktienmarkt durchbrach die Marke von 40.000 Punkten: MediaTek stieg direkt bei Börseneröffnung auf das Tageshoch, TSMC markierte ein neues Hoch. Auch der südkoreanische KOSPI erreichte einen historischen Höchststand. Getrieben durch Quartalsberichte wie von Apple und Hoffnungen auf KI stieg der MSCI-Index für Asien-Aktien; insgesamt kehrte die Marktzuversicht zurück.
ChainNewsAbmedia1Std her
Die Ethereum Foundation verkauft 10.000 ETH an Bitmine für 23 Millionen US-Dollar und erreicht in einer Woche 47 Millionen US-Dollar
Laut The Block verkaufte die Ethereum Foundation am Freitag erneut 10.000 ETH im Gegenwert von ungefähr 23 Millionen US-Dollar an Tom Lees Bitmine Immersion Technologies. Die jüngste Transaktion bringt die kumulierten ETH-Verkäufe an Bitmine auf rund 47 Millionen US-Dollar innerhalb einer Woche, wobei die Stiftung an
GateNews1Std her
Bitcoin, Ethereum und HYPE Holdings des Krypto-Händlers Huang Li-cheng sehen über 1,64 Mio. US-Dollar unrealisierte Gewinne
Laut Hyperbot-Daten haben die Long-Positionen des Krypto-Traders Huang Li-cheng in Bitcoin, Ethereum und HYPE heute nicht realisierte Gewinne von über 1,64 Millionen US-Dollar erzielt, bei einer Rendite auf das investierte Kapital von 70,91%.
GateNews1Std her
Wal „pension-usdt.eth“ steht bei BTC- und ETH-3x-Short-Positionen einem schwebenden Verlust von über $16M gegenüber
Gate News-Nachricht: Während der Markt steigt, hat der Whale „pension-usdt.eth“ mit den Holdings $BTC und $ETH eine Short-Position von 3x nun einen schwebenden Verlust von über 16 Millionen US-Dollar.
GateNews2Std her
ETH-Whale mit Long-Position über 80.000 Tokens sieht 5,89 Millionen US-Dollar nicht realisierte Gewinne
Laut Kettenanalyst Ai Yi hat ein Wal, der 80.000 ETH in Long-Positionen hält, zum 4. Mai nicht realisierte Gewinne im Wert von 5,89 Millionen US-Dollar. Die beiden Adressen zusammen halten 186 Millionen US-Dollar in ETH zu einem durchschnittlichen Einstiegspreis von 2.265 US-Dollar, wobei die Positionen eröffnet wurden am
GateNews2Std her
