KelpDAO Bridge misbruikt voor $292 miljoen; Lazarus Group in verband gebracht met aanval.

Op 18 april 2026 zullen aanvallers 116,500 rsETH gedraineerd Tokens ter waarde van ongeveer 292 miljoen dollar werden buitgemaakt via de cross-chain bridge van KelpDAO, wat leidde tot een van de grootste DeFi-aanvallen van het jaar. 

De hack vernietigde ongeveer 18% van de totale circulerende hoeveelheid rsETH-tokens van 630,000 tokens, legde de markten op grote leenplatformen plat en zorgde ervoor dat de totale waarde die in DeFi was vastgelegd (TVL) in 48 uur met meer dan 13 miljard dollar daalde. 

LayerZero, wiens infrastructuur de brug gebruikte, heeft sindsdien een configuratiekeuze van KelpDAO aangewezen als de hoofdoorzaak, terwijl eerdere analyses de aanval in verband brachten met de Lazarus-groep uit Noord-Korea.

Hoe is de KelpDAO-brug leeggelopen?

KelpDAO is een liquid restaking protocol, een type DeFi-platform dat door gebruikers gestorte tokens accepteert. ETH, leidt het via EigenLayer om extra rendement te behalen bovenop de standaard Ethereum stakingbeloningen en geeft rsETH uit als een verhandelbaar ontvangstbewijs. Zie rsETH als een claimbewijs: het vertegenwoordigt de gestakete activa. ETH en het rendement dat het oplevert, en het kan worden verhandeld of gebruikt als onderpand binnen DeFi.

De brug die werd leeggepompt, was gebouwd met behulp van LayerZero's OFT-standaard (Omnichain Fungible Token). LayerZero is een cross-chain berichtenlaag, wat betekent dat het de infrastructuur vormt waarmee verschillende blockchains geverifieerde instructies naar elkaar kunnen sturen. 

KelpDAO had rsETH geïmplementeerd in meer dan 20 netwerken, waaronder Base. arbitrumLinea, Blast, MantelEn Scroll. De bridge bevatte de rsETH-reserves die de wrapped versies van het token op al die layer 2-ketens ondersteunden.

Op 18 april om 17:35 UTC misleidden aanvallers de berichtenlaag van LayerZero, waardoor deze dacht dat er een geldige cross-chain instructie van een ander netwerk was ontvangen. Dit zorgde ervoor dat de bridge van KelpDAO 116,500 rsETH vrijgaf aan een adres dat door de aanvallers werd beheerd. 

KelpDAO's noodmultisig gepauzeerd the kern De contracten werden 46 minuten later, om 18:21 UTC, opnieuw gesloten. Twee vervolgpogingen, om 18:26 UTC en 18:28 UTC, mislukten beide nadat de pauze al was ingegaan, aldus CoinDesk. Bij elk van deze vervolgpogingen werd geprobeerd om nog eens 40,000 rsETH, ter waarde van ongeveer $100 miljoen, af te tappen.

Hoe aanvallers de verificatielaag omzeilden

LayerZero heeft sindsdien uitgebracht Een gedetailleerde uitleg van hoe de aanval technisch in zijn werk ging, en het blijkt geavanceerder te zijn dan een simpele bug in een smart contract.

Ontdek veelbelovende projecten...

Veelbelovende projecten...

(Advertentie)

Artikel gaat verder...

De bridge-verificatie van LayerZero is gebaseerd op RPC-nodes: servers waarmee software gegevens op een blockchain kan lezen en schrijven. De aanvaller identificeerde twee RPC-nodes waar de verificator van LayerZero van afhankelijk was om transacties tussen verschillende blockchains te bevestigen. Ze vervingen de software die op deze twee nodes draaide door kwaadaardige versies die zo waren ontworpen dat ze aan de verificator van LayerZero iets anders rapporteerden (dat er een geldige transactie had plaatsgevonden), terwijl ze aan alle andere systemen die dezelfde nodes opvroegen, wel correcte gegevens bleven rapporteren. Deze selectieve misleiding was specifiek ontworpen om onzichtbaar te blijven voor de eigen monitoring van LayerZero, die dezelfde RPC's vanaf verschillende IP-adressen opvraagt.

Het compromitteren van slechts twee knooppunten was niet voldoende, omdat de verificator van LayerZero ook niet-gecompromitteerde externe RPC-knooppunten controleerde. Daarom voerden de aanvallers een gedistribueerde denial-of-service (DDoS)-aanval uit op die externe knooppunten om het systeem te dwingen over te schakelen naar de gecompromitteerde knooppunten. 

Verkeerslogboeken die door LayerZero zijn gedeeld, tonen de DDoS-aanval die plaatsvond tussen 10:20 en 11:40 uur Pacific Time op 18 april. Nadat de failover was geactiveerd, meldden de geïnfecteerde nodes aan de verificator dat er een legitiem cross-chain bericht was aangekomen, waarna de bridge de rsETH vrijgaf. De kwaadaardige node-software vernietigde zichzelf vervolgens, waarbij de binaire bestanden en lokale logbestanden werden gewist.

Hoe kon dit dankzij de configuratie van KelpDAO?

LayerZero is duidelijk geweest over waar volgens hen de verantwoordelijkheid ligt. KelpDAO draaide een zogenaamde 1-van-1 DVN-configuratie. DVN staat voor Decentralized Verifier Network, de term die LayerZero gebruikt voor de entiteiten die berichten tussen verschillende blockchains verifiëren. 

Door een 1-op-1-configuratie te gebruiken, was LayerZero Labs de enige partij die berichten van en naar de rsETH-brug bevestigde. Als je de datafeed van één verificator compromitteert, kun je een geldig bericht vervalsen.

In de openbare integratiedocumentatie van LayerZero en in directe communicatie met KelpDAO werd een configuratie met meerdere verificatoren aanbevolen, waarbij consensus tussen verschillende onafhankelijke DVN's vereist zou zijn voordat een bericht als geldig werd geaccepteerd. Onder die configuratie zou het manipuleren van de datafeed van één verificator niet voldoende zijn geweest om een ​​frauduleuze transactie door te voeren.

"KelpDAO koos ervoor om een ​​1/1 DVN-configuratie te gebruiken," schreef LayerZero in hun analyse achteraf. "Een goed beveiligde configuratie zou consensus over meerdere onafhankelijke DVN's hebben vereist, waardoor deze aanval zelfs in het geval van een gecompromitteerde DVN ondoeltreffend zou zijn geweest."

Ripple CTO David Schwartz maakte een spits een observatie over hetzelfde thema. Hij merkte op dat bij de evaluatie van DeFi-brugsystemen voor RLUSDHij ontdekte dat de meeste protocollen weliswaar over sterke beveiligingsmechanismen beschikten, maar deze mechanismen steevast presenteerden als optionele functies die de operationele complexiteit vergrootten. 

Volgens hem was de impliciete boodschap van de leveranciers dat klanten zich niet druk hoefden te maken over de belangrijkste beveiligingsfuncties, omdat die onhandig waren. Hij beschreef het gevoel te hebben dat KelpDAO er waarschijnlijk om precies die reden voor had gekozen om de belangrijkste LayerZero-beveiligingsfuncties niet te gebruiken.

"Ik heb het vreemde gevoel dat een deel van het probleem te maken zal hebben met iets als KelpDAO dat er uit gemakzucht voor kiest om belangrijke LayerZero-beveiligingsfuncties niet te gebruiken," aldus Schwartz. 

KelpDAO heeft nog niet publiekelijk gereageerd op de formulering van LayerZero, noch uitgelegd waarom het bedrijf ondanks die aanbevelingen een 1-op-1 verificatie-opstelling heeft gehanteerd.

Wat is er met rsETH gebeurd na de sloop?

Omdat de bridge de reserves vasthield die rsETH dekten op elke layer 2-keten waar deze was geïmplementeerd, bracht de uitstroom houders op die netwerken voor een serieuze vraag te staan: is er nog wel iets dat mijn tokens dekt? Die onzekerheid creëerde een vicieuze cirkel: bezorgdheid over de dekking op layer 2-netwerken kon houders ertoe aanzetten hun rsETH in te wisselen voor ETH on Ethereum mainnet, wat er op zijn beurt toe zou kunnen leiden dat KelpDAO zijn EigenLayer-restakingposities ongedaan maakt om aan die opnames te voldoen.

KelpDAO bevestigde het incident in zijn eerste openbare bericht op X om 20:10 UTC, bijna drie uur na de datalek. Het protocol gaf aan dat het samenwerkte met LayerZero, Unichain, zijn auditors en externe beveiligingsspecialisten om de zaak te onderzoeken.

Welke protocollen hebben de markten bevroren?

De besmetting verspreidde zich snel binnen DeFi:

• Aave De rsETH-markten op zowel V3 als V4 werden binnen enkele uren bevroren. Oprichter Stani Kulechov verduidelijkte dat de exploit van buitenaf kwam. AaveDe eigen contracten van [naam bedrijf] werden niet beïnvloed.
• SparkLend en Fluid hebben beide hun rETH-markten bevroren.
• Lido Finance heeft de verdere stortingen in haar earnETH-product, dat rsETH-blootstelling met zich meebrengt, stopgezet, maar verduidelijkt dat stETH en wstETH hierdoor niet worden beïnvloed.
• Ethena heeft zijn LayerZero OFT-bruggen tijdelijk gepauzeerd. Ethereum Mainnet is uit voorzorg gesloten, met de mededeling dat het geen blootstelling aan rsETH heeft en nog steeds meer dan 101% overgecollateraliseerd is. 

Met hoeveel is de TVL van DeFi gedaald?

De financiële gevolgen reikten veel verder dan het ecosysteem van KelpDAO zelf. De totale waarde die in DeFi was vastgelegd, daalde van 99 miljard dollar naar 86 miljard dollar in de 48 uur na de exploit, een daling van 13.21 miljard dollar, aldus KelpDAO. gegevens van DefiLlamaTVL is een standaardmaatstaf voor de gecombineerde dollarwaarde van activa die zijn gestort op DeFi-protocollen en wordt veel gebruikt als indicator voor de algehele marktliquiditeit en -activiteit.

Aave alleen zag $9.5 miljard aan deposito's exit in die periode, waarbij de TVL daalde tot $17.947 miljard. Gegevens op protocolniveau lieten dalingen in dubbele cijfers zien op platforms zoals Euler, Sentora en Aave, waarbij de verliezen geconcentreerd zijn in leen-, herinzet- en rendementsstrategieën die gekoppeld zijn aan rsETH-onderpand.

Het mechanisme achter die uitstroom was eenvoudig maar schadelijk. Aanvallers gebruikten de gestolen rsETH als onderpand om geld te lenen op leenplatformen. Omdat die tokens geen legitiem onderpand meer hadden, leidde lenen met die tokens tot potentiële tekorten voor kredietverstrekkers. Het is vergelijkbaar met het storten van vals geld bij een bank en daar vervolgens leningen mee afsluiten: de bank blijft achter met oninbare schulden. Protocollen reageerden door de getroffen markten te bevriezen, wat er vervolgens toe leidde dat gebruikers massaal geld opnamen, waardoor de daling van de TVL (Total Value Locked) versnelde.

AAVE De afgelopen 48 uur is het met 18% gedaald.

Zit Lazarus Group achter de aanval?

LayerZero heeft de aanval met voorlopige zekerheid toegeschreven aan de Noord-Koreaanse Lazarus Group en haar subeenheid TraderTraitor, op basis van een analyse van de methoden en infrastructuur van de aanvaller. Peter Chung, hoofd onderzoek bij Presto Research, merkte in een onderzoeksrapport op dat het incident de risico's in cross-chain-infrastructuur benadrukt, met name in verificatiesystemen, en dat een eerste analyse suggereert dat het probleem is ontstaan ​​in de verificatielaag en niet in de smart contracts zelf.

Als de toeschrijving klopt, zou de KelpDAO-exploit de tweede grote DeFi-drain zijn die in 18 dagen tijd aan Lazarus Group wordt gekoppeld. Op 1 april... SolanaHet op Noord-Korea gebaseerde perpetuals-protocol Drift werd in een aanval, die later in verband werd gebracht met dezelfde Noord-Koreaanse eenheid, voor ongeveer 285 miljoen dollar leeggeroofd. De twee aanvallen maakten gebruik van structureel verschillende methoden: social engineering bij Drift en het vergiftigen van de infrastructuur bij KelpDAO. Gecombineerd zorgden de twee incidenten ervoor dat er in minder dan drie weken tijd meer dan 575 miljoen dollar uit de DeFi-sector werd weggesluisd.

Wat heeft LayerZero gedaan sinds de aanval?

LayerZero bevestigde dat er geen besmetting had plaatsgevonden voor andere applicaties op het protocol. Alle OFT-standaard tokens en applicaties die gebruik maakten van configuraties met meerdere verificatoren bleven onaangetast. De LayerZero Labs-verificator is weer online. Het bedrijf kondigde tevens aan dat het geen berichten meer zal ondertekenen voor applicaties die een 1-van-1 DVN-configuratie gebruiken, wat in feite een protocolbrede migratie van configuraties met één verificator afdwingt.

Conclusie

De KelpDAO-aanval was geen bug in de code van LayerZero. Het was een gerichte aanval op de infrastructuur, mogelijk gemaakt door één enkele configuratiebeslissing: het gebruik van een 1-op-1 verifier-configuratie, ondanks de gedocumenteerde aanbevelingen om dit niet te doen. Aanvallers, die voorlopig worden toegeschreven aan de Lazarus Group uit Noord-Korea, vergiftigden RPC-nodes, dwongen een failover af via een gecoördineerde DDoS-aanval en roofden 116,500 rsETH voordat KelpDAO zijn contracten kon pauzeren. De gevolgen hiervan waren onder meer het verlies van meer dan $13 miljard aan DeFi TVL in 48 uur, en het bevriezen van diverse systemen. AaveSparkLend, Fluid en Lido, en een breder gesprek over de kloof tussen de beveiligingsfuncties die cross-chain bridges bieden en de functies die hun integrators daadwerkelijk gebruiken.

Informatiebronnen

1. Kijk op XBerichten (18 april - 20 april)

2. Rapport van CoinDeskDe grootste crypto-exploit van 2026: $292 miljoen wordt weggesluisd van Kelp DAO, waarbij wrapped ether verspreid over 20 blockchains vast komt te zitten.

3. LayerZero op XBericht geplaatst op 20 april

4. Verslag van The BlockDe rsETH-brug van Kelp DAO is blijkbaar misbruikt voor een bedrag van ongeveer 292 miljoen dollar bij een LayerZero-aanval.

5. DeFiLlama-portaal: DeFi TVL-gegevens