coindesk.com
Eine Cross-Chain-Bridge, die fast ein Fünftel des umlaufenden Angebots eines erneut gestakten Ether-Tokens hält, wurde gerade leergeräumt, und die Folgen breiten sich im DeFi-Bereich schneller aus, als Kelp DAO Verträge pausieren kann.
Ein Angreifer entzogen 116.500 rsETH (wiederverzinster Ether) von Kelp DAOs LayerZero-gestützte Brücke um 17:35 UTC am Samstag, im Wert von etwa 292 Millionen US-Dollar zu aktuellen Preisen und repräsentiert etwa 18 % des zirkulierenden Angebots von 630.000 rsETH-Token, das von CoinGecko verfolgt wird.
LayerZero ist eine Cross-Chain Messaging-Schicht, also die Infrastruktur, die es verschiedenen Blockchains ermöglicht, verifizierte Anweisungen miteinander auszutauschen. Kelp DAO ist ein Liquid-Restaking-Protokoll, das vom Benutzer eingezahltes $ETH über EigenLayer weiterleitet, um zusätzlich zu den Standard-Ethereum-Staking-Belohnungen weitere Renditen zu erwirtschaften, und rsETH als handelbare Quittung ausgibt.
Die geleerte Brücke hielt die rsETH-Reserve, die die Wrapped-Versionen des Tokens unterstützte, welche auf mehr als 20 anderen Blockchains eingesetzt sind.
Der Angreifer täuschte die Cross-Chain-Messaging-Schicht von LayerZero, indem er sie glauben ließ, dass eine gültige Anweisung von einem anderen Netzwerk eingegangen sei, was die Brücke von Kelp veranlasste, 116.500 rsETH an eine vom Angreifer kontrollierte Adresse freizugeben.
Die Emergency-Pauser-Multisig von Kelp hat die Kernverträge des Protokolls 46 Minuten nach dem erfolgreichen Abfluss um 18:21 UTC eingefroren. Zwei Folgeversuche um 18:26 UTC und 18:28 UTC schlugen beide fehl und wurden zurückgesetzt, wobei jedes Mal dasselbe LayerZero-Paket verwendet wurde, das einen weiteren Abfluss von 40.000 rsETH im Wert von etwa 100 Millionen US-Dollar versuchte.
rsETH ist auf mehr als 20 Netzwerken wie Base, Arbitrum, Linea, Blast, Mantle und Scroll im Einsatz, wobei der OFT-Standard von LayerZero die Cross-Chain-Bewegungen übernimmt.
Das im Bridge gehaltene rsETH bildete die Reserve, die die Wrapped-Versionen auf jeder Layer-2-Blockchain oder Netzwerken, die auf Ethereum basieren, unterstützte.
Mit aufgebrauchten Reserven stehen Inhaber von Token auf Nicht-Ethereum-Deployments nun vor der Frage, ob ihre Token überhaupt eine Absicherung besitzen, was eine Rückkopplungsschleife erzeugt, in der Panik-Rücknahmen auf L2s den unbeeinflussten Ethereum-Vorrat unter Druck setzen und Kelp möglicherweise dazu zwingen, Restaking-Positionen aufzulösen, um Auszahlungen zu gewährleisten.
Die Liste der Ansteckungen ist lang und wächst weiter.
Aave hat die rsETH-Märkte eingefroren auf V3 und V4 innerhalb von Stunden, wobei Gründer Stani Kulechov bestätigte, dass der Exploit extern war und die Verträge von Aave nicht kompromittiert wurden. SparkLend und Fluid haben ihre rsETH-Märkte eingefroren.
AAVE fiel um etwa 10 %, da der Markt potenzielle faule Kredite einpreiste.
Lido Finance hat weitere Einzahlungen in sein earnETH-Produkt, das eine rsETH-Exponierung aufweist, ausgesetzt und gleichzeitig klargestellt, dass stETH und wstETH nicht betroffen sind und das zentrale Lido-Staking-Protokoll mit dem Vorfall nichts zu tun hat.
Ethena hat aus Vorsichtsmaßnahmen seine LayerZero OFT-Brücken vom Ethereum-Mainnet vorübergehend pausiert und mitgeteilt, dass keine rsETH-Exponierung vorliegt und das System weiterhin mit über 101 % überbesichert ist. Der Stablecoin-Emittent erklärte, die Pause werde etwa sechs Stunden dauern, während die Ursache festgestellt wird.
Kelp, ein Produkt unter dem Dach von KernelDAO, bestätigte den Vorfall in seinem ersten öffentlichen X-Beitrag um 20:10 UTC, fast drei Stunden nach dem Abfluss. Das Protokoll gab an, dass es gemeinsam mit LayerZero, Unichain, seinen Prüfern und externen Sicherheitsexperten ermittele. Es wurde nicht offengelegt, wie der Exploit die Validierungslogik der Brücke umgehen konnte.
Ob rsETH das Kursverhältnis über das Wochenende hält, hängt davon ab, wie viel des plattformübergreifenden Umlaufs versucht, auf Ethereum in $ETH zurückgetauscht zu werden, und ob Kelp einen Teil der gestohlenen Gelder wiedererlangen kann, bevor die Spur von Tornado Cash erlischt.
Der Hack fällt in eine ungewöhnlich herausfordernde Phase für DeFi. Das auf Solana basierende Perpetuals-Protokoll Drift wurde am 1. April bei einem Angriff, der später mit nordkoreanisch verbundenen Akteuren in Verbindung gebracht wurde, um etwa 285 Millionen US-Dollar erleichtert. In den darauffolgenden Wochen wurden mindestens ein Dutzend kleinere Protokolle ausgenutzt, darunter CoW Swap, Zerion, Rhea Finance und Silo Finance.
Kelps Verlust von 292 Millionen US-Dollar ist nun der größte DeFi-Hack des Jahres 2026 und übertrifft Drift um einige Millionen Dollar.