Når en enkelt forkert konfigureret signatur er alt, hvad der skal til for at skabe tokens til en værdi af 292 millioner dollars fra ingenting, ser hele præmissen for tillidsløs finansiering meget mere usikker ud, end navnet antyder.

Hvordan angrebet fungerede

Den 18. april 2026 udnyttede en angriber en sårbarhed i KelpDAOs cross-chain bridge – drevet af LayerZero – til at dræne 116,500 rsETH-tokens til en værdi af cirka 292 millioner dollars. Det er omkring 18% af rsETHs samlede cirkulerende forsyning, fremkaldt af en fejl, der ikke lå i selve LayerZeros protokol, men i hvordan Kelp havde konfigureret den.

Opsætningen var baseret på et enkelt verifikationspunkt til at godkende cross-chain-beskeder. Angriberen fandt det, udnyttede det, og en besked gik igennem, som ikke burde være gået igennem. "Én signatur og 116,500 rsETH materialiserede sig ud af den blå luft på Ethereum," som forskere senere beskrev det. Disse tokens blev derefter brugt som sikkerhed for at låne reelle aktiver - primært fra Aave - og drænet, før protokollen kunne sættes på pause.

Lazarus Groups fingeraftryk

Inden for tre dage efter bruddet, blockchain-analysefirmaet Chainalysis tilskrev angrebet til Nordkoreas Lazarus Group, baseret på mixerbrugsmønstre og metoder til kapitalspredning, der matcher gruppens kendte driftsstil. Tilskrivningen er i overensstemmelse med Lazarus' historik med at målrette DeFi-protokoller - de har været de mest produktive on-chain-tyve i flere år.

Tabets omfang gør det til det største DeFi-angreb i 2026 og overgår Drift-hacket med et par millioner dollars. De samlede DeFi-tab i år har nu passeret 770 millioner dollars på tværs af mere end 30 hændelser - et tal, der er svært at vurdere som en voksende industris smerte.

DeFi redder

Det, der fulgte, var, afhængigt af dit perspektiv, enten en bemærkelsesværdig demonstration af koordinering eller en påmindelse om, at sikkerhedsnettet i DeFi er helt uformelt.

Aave sammensatte en koalition kaldet "DeFi United", der inddrog Lido Finance, EtherFi og andre større protokoller for at fremlægge ETH for at dække underskuddet i Aaves udlånspuljer. Den 21. april indefrøs Arbitrums Network Security Council 30,766 ETH - cirka 71 millioner dollars - tilhørende angriberen og genvandt omkring 25% af de stjålne aktiver. Standard Chartered offentliggjorde en note, der kaldte sektorens reaktion et tegn på modstandsdygtighed. Det bredere kryptosamfund var mindre afmålt, med nogle erklærer DeFi død kategorisk.

Hvad skal ændres

CoinDesks post mortem-analyse, der blev offentliggjort lørdag, peger på cross-chain-broer som DeFi's mest vedvarende svage led - et problem, som branchen har været opmærksom på siden udnyttelsen af ​​Wormhole- og Ronin-broerne år tidligere. Mønsteret er konsistent: brokompleksitet skaber angrebsflader, og incitamenterne til hurtigt at levere har en tendens til at overgå incitamenterne til omhyggelig revision.

Det mest ubehagelige ved denne hændelse er, at det ikke var en sofistikeret zero-day-hændelse. Det var en konfigurationsfejl. LayerZeros infrastruktur fungerede som designet - problemet var, hvordan Kelp implementerede den. Det er et meget sværere problem at løse med revisioner alene, fordi det betyder, at enhver protokol, der bruger delt infrastruktur, ikke kun skal verificere koden, men alle parametre, der styrer, hvordan cross-chain-meddelelser er betroede og validerede.

KelpDAO og Aave arbejder stadig på genopretningen. Lazarus Group har i mellemtiden anslået aktiver til en værdi af 292 millioner dollars, der skal hvidvaskes. Nogle ting i krypto bevæger sig hurtigere end andre.

---------------

Forfatter: Ryan Gardner
Silicon Valley News Desk

Endnu en dag blev endnu en DeFi-protokol drænet. Wasabi Protocol, en perpetual trading platform, der opererer på tværs af Ethereum, Base, Berachain og Blast, tabte mellem 4.5 millioner og 5.5 millioner dollars den 30. april, efter at en angriber kompromitterede deployer-administratornøglen og brugte den til systematisk at tømme vault-kontrakter på tværs af alle fire kæder.

Angrebet var hurtigt og metodisk. Da angriberen havde administratornøglen, kaldte de grantRole på Wasabis tilladelseskontrakt for at give sig selv fulde administratorrettigheder uden forsinkelse - ingen tidslås, ingen ventetid. Derfra, ifølge The Block, de opgraderede protokollens perp-hvælvinger og Long Pool til ondsindede implementeringer, der simpelthen drænede saldoene.

Hvad blev ramt

På Ethereum omfattede de berørte kontrakter Wasabis wWETH-, sUSDC-, wBITCON-, wPEPE- og Long Pool-hvælvinger. På Base ramte angrebet sUSDC-, wWETH-, sBTC-, sVIRTUAL-, sAERO- og sBRETT-hvælvinger. Eksponeringen mod Berachain og Blast bidrog til det samlede tab.

Sikkerhedsfirmaet Blockaid markerede angrebet, mens det skete, hvilket i det mindste gav nogle brugere tid til at reagere - men karakteren af ​​en kompromitteret administratornøgle betyder, at protokollen selv er meget lidt, som den kan gøre, når nøglen er i fjendtlige hænder. Angriberen kontrollerede opgraderingsmekanismen. De omskrev kontrakterne.

Sikkerhedsfejlen er pinligt grundlæggende

Denne her er irriterende, fordi den er så forebyggelig. Grundårsagen var ikke en ny zero-day-fejl, en kompleks re-entrancy-fejl eller en subtil edge-tilfælde i en kryptografisk primitiv. Det var en enkelt eksternt ejet konto med fuld ADMIN_ROLE i Wasabis PerpManager uden krav om multisignering, ingen tidslås og ingen styringsproces, der beskyttede denne adgang.

Det er sikkerhed baseret på table-stakes for enhver protokol, der administrerer rigtige brugermidler. Hvis man krævede flere nøgler for at underskrive en privilegeret handling – eller hvis man pålagde en forsinkelse på 24 eller 48 timer, før en opgradering træder i kraft – ville det have stoppet dette angreb fuldstændigt. En tidslås alene ville have givet brugere og sikkerhedsforskere tid til at bemærke den ondsindede transaktion i kø og reagere, før den blev udført.

Wasabi er ikke den første protokol, der springer disse beskyttelser over og betaler for det. Det bliver ikke den sidste. Men den regelmæssighed, hvormed centraliserede administratornøgler kompromitteres i DeFi - og den regelmæssighed, hvormed post mortem afslører, at der aldrig har været nogen multisignatur eller tidslås på plads - er virkelig svær at forklare på dette tidspunkt i branchens udvikling.

Kontekst: Den værste måned nogensinde

Wasabi-angrebet fandt sted i slutningen af ​​april 2026, hvilket var den værste måned for kryptohacks siden sporing begyndte. DeFiLlama bekræftede 30 separate hændelser i april med samlede tab på over 625 millioner dollars - cirka ét angreb om dagen. To hændelser dominerede: Drift Protocol social engineering-tyveriet (ca. 285 millioner dollars) og KelpDAO LayerZero-broangrebet (292 millioner dollars), som begge af forskere tilskrives Nordkoreas Lazarus Group.

Wasabis tab på 5 millioner dollars ser beskedent ud i betragtning af disse tal, men det er en nyttig påmindelse om, at angrebsfladen ikke er begrænset til massive brokontrakter og velfinansierede protokoller. Mindre perpetual-platforme med reelle brugerindskud og en enkelt ubeskyttet administratornøgle er lige så sårbare - og det økonomiske incitament til at angribe dem er reelt.

Hvad brugerne bør vide

Wasabi Protocol har sat de berørte hvælvinger på pause og har skrevet om hændelsen på sociale kanaler. Brugere med åbne positioner eller indskud i de berørte kontrakter bør bekræfte deres status direkte via officielle Wasabi-kanaler og være skeptiske over for eventuelle gendannelsestilbud, der kommer via DM - den falske refusionssvindel, der følger exploits, er næsten lige så pålidelig som selve exploitsene.

Den bredere lektie fra april 2026 er en, som branchen bliver ved med at lære: det er ligegyldigt, hvor god handelsgrænsefladen er, hvor konkurrencedygtige gebyrerne er, eller hvor mange TVL en protokol har akkumuleret. Hvis administratornøglen kan dræne alt i én transaktion uden begrænsninger, vil nogen til sidst få den nøgle. Byg derefter.

---------------

Forfatter: Alan Ward
Seattle News Desk

Hvordan Nordkorea stjal 292 millioner dollars fra DeFis VVS-firma

DeFi havde en hård uge - og når jeg siger hård, mener jeg hård "næsten-eksistentiel-krise". Den 18. april udnyttede angribere, der senere blev identificeret som Nordkoreas Lazarus Group, Kelp DAO's cross-chain bridge til at dræne 116,500 rsETH til en værdi af cirka 292 millioner dollars. Inden for 48 timer havde chokbølgen slettet mere end 13 milliarder dollars i samlet værdi, der var låst fast på tværs af decentraliseret finans.

Det er det største DeFi-udnyttelse i 2026, og det afslørede en sårbarhed, som branchen er blevet advaret om i årevis.

Hvad der faktisk skete

Roden til udnyttelsen var pinligt simpel i konceptet, selvom den var teknisk sofistikeret i udførelsen. Kelp DAO's bro var afhængig af LayerZero til cross-chain messaging - men den var konfigureret med en 1-af-1 verifikator, hvilket betyder, at en enkelt node var ansvarlig for at validere alle cross-chain messaging, før midlerne kunne flyttes.

Lazarus behøvede ikke at knække verifikatoren direkte. I stedet kompromitterede gruppen to RPC-noder (Remote Procedure Call), der sendte data til verifikatoren. Med disse noder under deres kontrol injicerede de falske cross-chain-beskeder gennem LayerZero og narrede broen til at frigive midler, som den aldrig burde have rørt. ifølge CoinDesk, den stjålne rsETH spredte sig på tværs af mere end 20 blockchain-netværk, hvilket gjorde hurtig inddæmning næsten umulig.

1-af-1-opsætningen er det kritiske fejlpunkt. En konfiguration med flere validatorer ville have krævet, at angriberen kompromitterede flere uafhængige noder samtidigt - et dramatisk vanskeligere løft. I stedet kollapsede et enkelt fejlpunkt under en velfinansieret nationalstatslig hackingoperation.

Fallout: En nærdødsoplevelse for DeFi

Da rsETH fungerede som sikkerhed på tværs af protokoller på flere lag 2-netværk, forblev skaden ikke begrænset til Kelp DAO. Aave, SparkLend og Fluid handlede hurtigt for at indefryse aktivet, men ikke før det bredere marked reagerede. Alene Aave oplevede en udfasning af indlån på 8.45 milliarder dollars over 48 timer.

Sektorens samlede værdi faldt med mere end 13 milliarder dollars på to dage. Crypto.news rapporterede at april 2026 nu er den værste måned for kryptohacks siden Bybit-bruddet på 1.4 milliarder dollars i februar 2025, med over 606 millioner dollars tabt over 18 dage.

I et koordineret svar slog Aave-grundlæggeren Stani Kulechov sig sammen med Lido Finance og EtherFi for at foreslå at dække underskuddet ved hjælp af etherreserver - en usædvanlig demonstration af samarbejde på tværs af protokoller, der muligvis har forhindret en bredere kaskade af dårlig gæld.

LayerZero har formelt tilskrevet angrebet til TraderTraitor, Lazarus-undergruppen, der er ansvarlig for nogle af de mest lukrative kryptokup i de senere år, herunder Ronin Bridge-angrebet i 2022 og Bybit-børshakket tidligere på året.

Hvad dette betyder for brosikkerhed

Hvis Kelp DAO-angrebet beviser noget, er det, at kryptobroer fortsat er branchens farligste angrebsflade. Næsten alle større protokolhack i nyere tid har udnyttet det samme grundlæggende problem: en cross-chain-besked, der var pålidelig, når den ikke burde have været det.

Løsningen er ikke kompliceret i teorien. Opsætninger med flere validatorer, decentraliserede RPC-nodenetværk og uafhængige sikkerhedsrevisioner af broinfrastruktur ville alle hæve barren betydeligt. Udfordringen er, at det at gå på kompromis med infrastrukturen ofte bliver rationaliseret som en "hurtig" beslutning - indtil en nationalstat med ubegrænset tålmodighed beslutter sig for at udnytte det.

DeFis genopretning efter dette hackerangreb ser ud til at være håndterbar. Aaves sikkerhedsmodul holdt, protokollerne blev koordineret hurtigt, og ingen større platforme ser ud til at være kollapset. Men sektoren absorberede et chok på 13 milliarder dollars på 48 timer. Den næste bro, der kører en 1-ud-af-1-verifikator, er måske ikke så heldig.

---------------

Forfatter: Ryan Gardner
Silicon Valley News Desk