KelpDAO-Hack erschüttert DeFi-Welt: Krypto-Token im Wert von 292 Mio. Dollar geklaut
Ein massiver Exploit beim dezentralen Finanzprotokoll KelpDAO hat das gesamte DeFi-Ökosystem in Aufruhr versetzt. Der Angriff vom Wochenende führte zum Diebstahl von rund 292 Millionen US-Dollar und zieht weitreichende Konsequenzen für das Kreditprotokoll Aave, das Blockchain-Netzwerk Arbitrum und zahlreiche Nutzer nach sich. Während die Hacker bereits damit begonnen haben, die gestohlenen Mittel zu verschleiern, versuchen betroffene Protokolle den Schaden zu begrenzen.
Der Angriff: Wie der Exploit funktionierte
Im Mittelpunkt des Angriffs steht rsETH, ein sogenannter Liquid-Restaking-Token, der von KelpDAO ausgegeben wird. Um rsETH zwischen verschiedenen Blockchains zu übertragen, setzt das Protokoll auf einen Bridge-Mechanismus: Tokens werden auf einer Quellchain gesperrt, während entsprechende Kopien auf der Ziel-Chain ausgegeben werden.
Ein Angreifer nutzte eine Schwachstelle in diesem System aus, indem er eine gefälschte Transfernachricht erstellte, die als gültig akzeptiert wurde. Die Tokens wurden dabei nie tatsächlich von der sendenden Chain abgezogen. Stattdessen wurden 116.500 rsETH effektiv ohne Deckung neu erzeugt und aus dem Ethereum-seitigen Bridge freigegeben.
Die Schwachstelle lag in der Art und Weise, wie KelpDAO Cross-Chain-Nachrichten über das Messaging-Protokoll LayerZero verifizierte. LayerZero selbst wurde dabei nicht direkt gehackt, jedoch ermöglichte dessen Messaging-Schicht fehlerhafte Annahmen in KelpDAOs Validierungslogik.
KelpDAO wies diese Kritik zurück und erklärte, dass die 1-von-1-DVN-Konfiguration von LayerZero als Standardeinstellung ausgeliefert worden sei. Damit entbrannte ein öffentlicher Streit über die Verantwortlichkeit zwischen den beiden Protokollen.
Aave: Bis zu 230 Millionen Dollar potenzieller Verlust
Anstatt die erbeuteten Tokens sofort zu verkaufen, nutzte der Angreifer 89.567 rsETH als Sicherheit (Collateral) auf Aave und lieh sich darüber rund 190 Millionen US-Dollar in ETH und verwandten Assets auf Ethereum und Arbitrum aus. Da das hinterlegte Collateral faktisch ungedeckt war, steht Aave nun vor erheblichen Verlusten durch sogenannte „Bad Debt“, also Schulden, die nicht vollständig besichert sind.
Aave Labs reagierte schnell: Innerhalb weniger Stunden wurden die rsETH-Märkte auf allen Deployments eingefroren, die Loan-to-Value-Ratios auf null gesetzt und neue Kreditaufnahmen gegen rsETH gestoppt.
In einem gemeinsamen Bericht von Aave Labs und dem Dienstleister LlamaRisk werden zwei mögliche Szenarien für den endgültigen Schaden skizziert:
| Szenario | Beschreibung | Geschätzter Verlust für Aave |
|---|---|---|
| Szenario A | Verluste werden auf alle rsETH-Inhaber verteilt (ca. 15% Wertverlust des Tokens) | ca. 123 Millionen USD |
| Szenario B | Verluste werden auf Layer-2-Netzwerke wie Arbitrum und Mantle beschränkt | bis zu 230 Millionen USD |
Welches Szenario eintritt, hängt maßgeblich davon ab, wie KelpDAO die Verluste intern verteilt. Eine offizielle Entscheidung darüber steht noch aus. Das Aave-DAO-Treasury verfügt laut Bericht über rund 181 Millionen US-Dollar an Vermögenswerten, und es laufen Gespräche mit Ökosystemteilnehmern über mögliche Ausgleichsmaßnahmen.
Die Unsicherheit rund um den Vorfall löste einen massiven Abzug von Kapital aus: Rund 6 Milliarden US-Dollar an Total Value Locked (TVL) wurden nach dem Exploit aus Aave abgezogen, da Nutzer das Risiko in der vernetzten DeFi-Infrastruktur neu bewerteten.
Arbitrum friert gestohlene Mittel ein
Das Layer-2-Netzwerk Arbitrum reagierte mit einer ungewöhnlichen Maßnahme: Der Arbitrum Security Council fror 30.766 ETH im Wert von rund 71,1 Millionen US-Dollar ein, die sich in einer mit dem Exploit verknüpften Adresse auf Arbitrum One befanden. Die Mittel wurden in eine intermediäre, gesperrte Wallet überführt.
„Der Security Council handelte unter Einbeziehung von Strafverfolgungsbehörden hinsichtlich der Identität des Angreifers und wog dabei stets sein Engagement für die Sicherheit und Integrität der Arbitrum-Community ab, ohne andere Nutzer oder Anwendungen zu beeinträchtigen.“
Arbitrum betonte, dass die Aktion keine Auswirkungen auf andere Kettenzustände oder reguläre Nutzer hatte. Die eingefrorenen Gelder können nur durch einen weiteren Beschluss der Arbitrum-Governance bewegt werden. Vorläufige Erkenntnisse von LayerZero deuten darauf hin, dass der Angriff mit der nordkoreanischen Hackergruppe Lazarus in Verbindung stehen könnte.
Geldwäsche: Hacker verschleiern die Spur
Parallel zu den Eindämmungsmaßnahmen haben die Hacker bereits damit begonnen, die gestohlenen Mittel zu waschen. Onchain-Ermittler ZachXBT und Daten des Blockchain-Analyseunternehmens Arkham zeigen, dass die Wallet, die die Exploiterlöse kontrolliert, am Dienstag zwei Transfers in Höhe von 117 Millionen und 58 Millionen US-Dollar auf der Ethereum-Blockchain durchführte.
Die Verschleierungsstrategie umfasst mehrere Methoden:
- Rund 1,5 Millionen US-Dollar wurden über Thorchain von Ethereum nach Bitcoin gebrückt, ein Protokoll, das zuvor von der Lazarus Group zur Geldwäsche genutzt wurde.
- Zusätzlich wurden rund 78.000 US-Dollar über das Datenschutzprotokoll Umbra geleitet.
- Cross-Chain-Routing und Privacy-Tools werden eingesetzt, um die Mittel auf mehrere Adressen und Netzwerke zu verteilen.
Experten ordnen dieses Vorgehen als klassische „Layering“-Phase der Geldwäsche ein, bei der Gelder durch mehrere Zwischenschritte bewegt werden, um ihre Herkunft zu verschleiern. Die Einfrierung der 71 Millionen US-Dollar durch Arbitrum könnte den Druck auf die Angreifer erhöhen, die verbleibenden Mittel noch schneller zu bewegen.
