BroadChain erfährt, dass am 24. April um 04:16 Uhr die auf LayerZero basierende rsETH-Brücke von Kelp DAO in den frühen Morgenstunden des 19. April angegriffen wurde. 116.500 rsETH (etwa 292 Millionen US-Dollar) flossen ohne entsprechende Verbrennungsnachweise vom Mainnet ab. Der Angreifer umging die lzReceive-Validierungslogik und fälschte Cross-Chain-Nachrichten, um direkt die Reservefreigabe auszulösen. Innerhalb einer Stunde setzte Kelp den Vertrag aus, doch bei einem erfolgreichen Folgeangriff hätte der Gesamtschaden 391 Millionen US-Dollar betragen.
Die Ursache des Angriffs liegt in der schwächsten Sicherheitskonfiguration von LayerZero, die Kelp verwendete – 1/1 DVN, d. h. eine einzelne Validator-Signatur reicht aus. Shalev Keren, Mitbegründer des kryptografischen Sicherheitsunternehmens Sodot, wies darauf hin, dass dies ein „Single Point of Failure" sei, der nicht durch Audits behoben werden könne. Bereits im Januar 2025 hatte ein Team im Aave-Governance-Forum darauf hingewiesen, auf Multi-DVN-Validierung umzustellen, doch 15 Monate später wurde dies immer noch nicht umgesetzt. LayerZero erklärte später, mehrfach auf ein Upgrade gedrängt zu haben, und kündigte an, keine Nachrichten mehr für Anwendungen mit Single-Validator zu genehmigen.
Der Angreifer deponierte die gestohlenen rsETH auf Kreditplattformen wie Aave und Compound und lieh sich über 236 Millionen US-Dollar an realen Vermögenswerten aus. Nachdem Aave den Markt eingefroren hatte, löste dies eine Abhebungswelle von über 10 Milliarden US-Dollar aus. Mindestens neun Protokolle, darunter Fluid, Upshift und Lido Earn, lösten Notfallmaßnahmen aus. SparkLend hatte rsETH bereits im Januar 2026 aus dem Angebot genommen, was die unterschiedliche Risikowahrnehmung der Branche gegenüber LRT-Vermögenswerten unterstreicht.
LayerZero führte den Angriff auf die nordkoreanische Lazarus Group zurück, doch Cyvers folgte dieser Schlussfolgerung nicht, da die bösartige Nodesoftware automatisch Spuren löschte, was die forensische Untersuchung erschwerte. Die beiden Vorfälle (vor drei Wochen verlor das Drift Protocol 285 Millionen US-Dollar) zeigen, dass der bestehende Sicherheitsrahmen von DeFi nicht mehr in der Lage ist, die aktuellen Bedrohungen zu bewältigen. Die Branche muss systemische Upgrades in den Bereichen Protokolldesign, Risikomanagement von Sicherheiten, Betriebssicherheit und Informationsaustausch durchführen.