Når en enkelt forkert konfigureret signatur er alt, hvad der skal til for at skabe tokens til en værdi af 292 millioner dollars fra ingenting, ser hele præmissen for tillidsløs finansiering meget mere usikker ud, end navnet antyder.

Hvordan angrebet fungerede

Den 18. april 2026 udnyttede en angriber en sårbarhed i KelpDAOs cross-chain bridge – drevet af LayerZero – til at dræne 116,500 rsETH-tokens til en værdi af cirka 292 millioner dollars. Det er omkring 18% af rsETHs samlede cirkulerende forsyning, fremkaldt af en fejl, der ikke lå i selve LayerZeros protokol, men i hvordan Kelp havde konfigureret den.

Opsætningen var baseret på et enkelt verifikationspunkt til at godkende cross-chain-beskeder. Angriberen fandt det, udnyttede det, og en besked gik igennem, som ikke burde være gået igennem. "Én signatur og 116,500 rsETH materialiserede sig ud af den blå luft på Ethereum," som forskere senere beskrev det. Disse tokens blev derefter brugt som sikkerhed for at låne reelle aktiver - primært fra Aave - og drænet, før protokollen kunne sættes på pause.

Lazarus Groups fingeraftryk

Inden for tre dage efter bruddet, blockchain-analysefirmaet Chainalysis tilskrev angrebet til Nordkoreas Lazarus Group, baseret på mixerbrugsmønstre og metoder til kapitalspredning, der matcher gruppens kendte driftsstil. Tilskrivningen er i overensstemmelse med Lazarus' historik med at målrette DeFi-protokoller - de har været de mest produktive on-chain-tyve i flere år.

Tabets omfang gør det til det største DeFi-angreb i 2026 og overgår Drift-hacket med et par millioner dollars. De samlede DeFi-tab i år har nu passeret 770 millioner dollars på tværs af mere end 30 hændelser - et tal, der er svært at vurdere som en voksende industris smerte.

DeFi redder

Det, der fulgte, var, afhængigt af dit perspektiv, enten en bemærkelsesværdig demonstration af koordinering eller en påmindelse om, at sikkerhedsnettet i DeFi er helt uformelt.

Aave sammensatte en koalition kaldet "DeFi United", der inddrog Lido Finance, EtherFi og andre større protokoller for at fremlægge ETH for at dække underskuddet i Aaves udlånspuljer. Den 21. april indefrøs Arbitrums Network Security Council 30,766 ETH - cirka 71 millioner dollars - tilhørende angriberen og genvandt omkring 25% af de stjålne aktiver. Standard Chartered offentliggjorde en note, der kaldte sektorens reaktion et tegn på modstandsdygtighed. Det bredere kryptosamfund var mindre afmålt, med nogle erklærer DeFi død kategorisk.

Hvad skal ændres

CoinDesks post mortem-analyse, der blev offentliggjort lørdag, peger på cross-chain-broer som DeFi's mest vedvarende svage led - et problem, som branchen har været opmærksom på siden udnyttelsen af ​​Wormhole- og Ronin-broerne år tidligere. Mønsteret er konsistent: brokompleksitet skaber angrebsflader, og incitamenterne til hurtigt at levere har en tendens til at overgå incitamenterne til omhyggelig revision.

Det mest ubehagelige ved denne hændelse er, at det ikke var en sofistikeret zero-day-hændelse. Det var en konfigurationsfejl. LayerZeros infrastruktur fungerede som designet - problemet var, hvordan Kelp implementerede den. Det er et meget sværere problem at løse med revisioner alene, fordi det betyder, at enhver protokol, der bruger delt infrastruktur, ikke kun skal verificere koden, men alle parametre, der styrer, hvordan cross-chain-meddelelser er betroede og validerede.

KelpDAO og Aave arbejder stadig på genopretningen. Lazarus Group har i mellemtiden anslået aktiver til en værdi af 292 millioner dollars, der skal hvidvaskes. Nogle ting i krypto bevæger sig hurtigere end andre.

---------------

Forfatter: Ryan Gardner
Silicon Valley News Desk

Hvordan Nordkorea stjal 292 millioner dollars fra DeFis VVS-firma

DeFi havde en hård uge - og når jeg siger hård, mener jeg hård "næsten-eksistentiel-krise". Den 18. april udnyttede angribere, der senere blev identificeret som Nordkoreas Lazarus Group, Kelp DAO's cross-chain bridge til at dræne 116,500 rsETH til en værdi af cirka 292 millioner dollars. Inden for 48 timer havde chokbølgen slettet mere end 13 milliarder dollars i samlet værdi, der var låst fast på tværs af decentraliseret finans.

Det er det største DeFi-udnyttelse i 2026, og det afslørede en sårbarhed, som branchen er blevet advaret om i årevis.

Hvad der faktisk skete

Roden til udnyttelsen var pinligt simpel i konceptet, selvom den var teknisk sofistikeret i udførelsen. Kelp DAO's bro var afhængig af LayerZero til cross-chain messaging - men den var konfigureret med en 1-af-1 verifikator, hvilket betyder, at en enkelt node var ansvarlig for at validere alle cross-chain messaging, før midlerne kunne flyttes.

Lazarus behøvede ikke at knække verifikatoren direkte. I stedet kompromitterede gruppen to RPC-noder (Remote Procedure Call), der sendte data til verifikatoren. Med disse noder under deres kontrol injicerede de falske cross-chain-beskeder gennem LayerZero og narrede broen til at frigive midler, som den aldrig burde have rørt. ifølge CoinDesk, den stjålne rsETH spredte sig på tværs af mere end 20 blockchain-netværk, hvilket gjorde hurtig inddæmning næsten umulig.

1-af-1-opsætningen er det kritiske fejlpunkt. En konfiguration med flere validatorer ville have krævet, at angriberen kompromitterede flere uafhængige noder samtidigt - et dramatisk vanskeligere løft. I stedet kollapsede et enkelt fejlpunkt under en velfinansieret nationalstatslig hackingoperation.

Fallout: En nærdødsoplevelse for DeFi

Da rsETH fungerede som sikkerhed på tværs af protokoller på flere lag 2-netværk, forblev skaden ikke begrænset til Kelp DAO. Aave, SparkLend og Fluid handlede hurtigt for at indefryse aktivet, men ikke før det bredere marked reagerede. Alene Aave oplevede en udfasning af indlån på 8.45 milliarder dollars over 48 timer.

Sektorens samlede værdi faldt med mere end 13 milliarder dollars på to dage. Crypto.news rapporterede at april 2026 nu er den værste måned for kryptohacks siden Bybit-bruddet på 1.4 milliarder dollars i februar 2025, med over 606 millioner dollars tabt over 18 dage.

I et koordineret svar slog Aave-grundlæggeren Stani Kulechov sig sammen med Lido Finance og EtherFi for at foreslå at dække underskuddet ved hjælp af etherreserver - en usædvanlig demonstration af samarbejde på tværs af protokoller, der muligvis har forhindret en bredere kaskade af dårlig gæld.

LayerZero har formelt tilskrevet angrebet til TraderTraitor, Lazarus-undergruppen, der er ansvarlig for nogle af de mest lukrative kryptokup i de senere år, herunder Ronin Bridge-angrebet i 2022 og Bybit-børshakket tidligere på året.

Hvad dette betyder for brosikkerhed

Hvis Kelp DAO-angrebet beviser noget, er det, at kryptobroer fortsat er branchens farligste angrebsflade. Næsten alle større protokolhack i nyere tid har udnyttet det samme grundlæggende problem: en cross-chain-besked, der var pålidelig, når den ikke burde have været det.

Løsningen er ikke kompliceret i teorien. Opsætninger med flere validatorer, decentraliserede RPC-nodenetværk og uafhængige sikkerhedsrevisioner af broinfrastruktur ville alle hæve barren betydeligt. Udfordringen er, at det at gå på kompromis med infrastrukturen ofte bliver rationaliseret som en "hurtig" beslutning - indtil en nationalstat med ubegrænset tålmodighed beslutter sig for at udnytte det.

DeFis genopretning efter dette hackerangreb ser ud til at være håndterbar. Aaves sikkerhedsmodul holdt, protokollerne blev koordineret hurtigt, og ingen større platforme ser ud til at være kollapset. Men sektoren absorberede et chok på 13 milliarder dollars på 48 timer. Den næste bro, der kører en 1-ud-af-1-verifikator, er måske ikke så heldig.

---------------

Forfatter: Ryan Gardner
Silicon Valley News Desk