de
Zurück zur Liste

Das Protokoll: Kelp DAO mit 292 Millionen Dollar ausgebeutet

source-logo  coindesk.com 1 S
image

Netzwerk Nachrichten

KELP DAO EXPLOIT: Eine Cross-Chain-Bridge, die fast ein Fünftel des zirkulierenden Angebots eines erneut eingesetzten Ether-Tokens hält, wurde gerade geleert, und die Auswirkungen breiten sich im DeFi-Bereich schneller aus, als Kelp DAO Verträge pausieren kann. Ein Angreifer zog 116.500 rsETH (wiederverzinste Ether) von Kelp DAO ab LayerZero-gestützte Brücke um 17:35 UTC am Wochenende, im Wert von rund 292 Millionen US-Dollar zum aktuellen Preis und repräsentierend etwa 18 % des zirkulierenden Angebots von 630.000 rsETH-Token, die von CoinGecko verfolgt werden. LayerZero ist eine Cross-Chain-Nachrichtenschicht bzw. die Infrastruktur, die es verschiedenen Blockchains ermöglicht, verifizierte Anweisungen aneinander zu senden. Kelp DAO ist ein Liquid-Restaking-Protokoll, das von Nutzern eingezahltes $ETH entgegennimmt, es über EigenLayer weiterleitet, um zusätzlich zu den üblichen Ethereum-Staking-Belohnungen weitere Renditen zu erzielen, und rsETH als handelbaren Beleg ausgibt. Die Brücke, die geplündert wurde, enthielt die rsETH-Reserve, welche die Wrapped-Versionen des Tokens auf mehr als 20 anderen Blockchains absichert. Der Angreifer täuschte die Cross-Chain-Nachrichtenschicht von LayerZero, sodass diese glaubte, eine gültige Anweisung aus einem anderen Netzwerk erhalten zu haben, was dazu führte, dass Kelps Brücke 116.500 rsETH an eine attacker-kontrollierte Adresse freisetzte. Das Emergency-Pauser-Multisig von Kelp frierte die Kernverträge des Protokolls 46 Minuten nach dem erfolgreichen Diebstahl um 18:21 UTC ein. Zwei weitere Versuche um 18:26 UTC und 18:28 UTC wurden jeweils abgebrochen, wobei sie jeweils dasselbe LayerZero-Paket mit dem Versuch enthielten, weitere 40.000 rsETH im Wert von etwa 100 Millionen US-Dollar zu entwenden. — Shaurya Malwa Weiterlesen.

NORDKOREA KRYPTOWÄHRUNGSAUFRÄUM-STRATEGIE: Weniger als drei Wochen nachdem nordkoreabezogene Hacker Social Engineering einsetzten, um beliebtes Krypto-Handelsunternehmen Drift, Hacker mit Verbindungen zu dem Staat scheinen einen weiteren bedeutenden Angriff auf Kelp erfolgreich durchgeführt zu haben. Der Angriff auf Kelp, ein Restaking-Protokoll, das in die LayerZero-Cross-Chain-Infrastruktur eingebunden ist, deutet auf eine Weiterentwicklung der Vorgehensweise der mit Nordkorea verbundenen Hacker hin, nicht nur auf der Suche nach Sicherheitslücken oder gestohlenen Zugangsdaten, aber die grundlegenden Annahmen, die in dezentralen Systemen verankert sind, auszunutzen. Zusammengenommen zeigen die beiden Vorfälle deuten auf etwas Organisierteres als eine Reihe von Einzeltaten hin, da Nordkorea seine Bemühungen zur Entwendung von Geldern aus dem Kryptosektor weiter eskaliert. „Dies ist keine Reihe von Vorfällen; es ist ein Rhythmus“, sagte Alexander Urbelis, Chief Information Security Officer und General Counsel bei ENS Labs. „Man kann sich nicht einfach mit einem Patch aus einem Beschaffungsplan herauswinden.“ Innerhalb von nur etwas mehr als zwei Wochen wurden über 500 Millionen Dollar durch die Exploits bei Drift und Kelp abgegriffen. Im Kern beinhaltete der Kelp-Exploit weder das Knacken von Verschlüsselungen noch das Brechen von Schlüsseln. Das System funktionierte tatsächlich so, wie es entworfen wurde. Stattdessen manipulierten Angreifer die in das System eingespeisten Daten und zwangen es, sich auf diese kompromittierten Eingaben zu verlassen, wodurch Transaktionen genehmigt wurden, die niemals tatsächlich stattgefunden hatten. — Margaux Nijkerk Weiterlesen.

AAVE VON KELP DAO HACK BETROFFEN: Ein Angreifer nutzte diese Konfiguration aus, indem er eine Transfernachricht fälschte, die gültig erschien. Das System genehmigte die Übertragung, obwohl die Token nie aus der sendenden Blockchain entnommen wurden, was effektiv zur Schaffung neuer Token ohne Deckung führte und 116.500 rsETH von der Ethereum-seitigen Brücke freisetzte. Anstatt die Vermögenswerte auf dem freien Markt zu verkaufen, hinterlegte der Angreifer 89.567 rsETH als Sicherheit bei Aave und lieh sich laut Bericht rund 190 Millionen US-Dollar in $ETH und verwandten Vermögenswerten über Ethereum und Arbitrum. Dies setzte Aave einer Sicherheit aus, deren Deckung womöglich erheblich beeinträchtigt ist. Aave Labs erklärte, schnell gehandelt zu haben, um das Risiko einzudämmen. Innerhalb von Stunden fror das Protokoll die rsETH-Märkte in seinen Deployments ein, setzte die Beleihungsquoten auf null und stoppte neue Kreditaufnahmen gegen diesen Vermögenswert. Das Ergebnis hängt jetzt weitgehend davon ab, wie Kelp mit dem Fehlbetrag umgeht. Wenn Verluste auf alle rsETH-Inhaber verteilt werden, würde der Token voraussichtlich eine Entkopplung von etwa 15 % erfahren (was bedeutet, dass der Wert der eingesetzten Token nicht dem Wert des tatsächlichen $ETH entspricht), was Aave etwa 124 Millionen US-Dollar an Ausfallforderungen bescheren würde. Werden die Verluste hingegen auf Layer-2-Netzwerke isoliert, wäre die Auswirkung deutlich gravierender, mit Ausfallforderungen, die auf etwa 230 Millionen US-Dollar steigen und sich auf Netzwerke wie Arbitrum und Mantle konzentrieren.— Margaux Nijkerk Weiterlesen.

COINBASE BEAUFTRAGT STUDIE ZU RISIKEN DES QUANTENCOMPUTINGS: Ein neuer Bericht, der von Coinbase in Auftrag gegeben wurde, klingt vorsichtig, aber dringlich: Quantencomputing wird Kryptowährungen nicht morgen brechen, doch die Branche kann es sich nicht leisten zu warten. Das 50-seitige Dokument, verfasst von einem unabhängigen Beratungsgremium, dem prominente Kryptographen und Akademiker wie Dan Boneh von der Stanford University, Justin Drake von der Ethereum Foundation und Sreeram Kannan von Eigen Labs angehören, kommt zu dem Schluss, dass die heutigen Blockchains zwar noch sicher sind, ein zukünftiger „fehlertoleranter Quantencomputer“, der in der Lage ist, weit verbreitete Verschlüsselungen zu knacken, jedoch zunehmend plausibel wird und Vorbereitungen jetzt beginnen müssen. In den letzten Monaten sind Sorgen rund um das Quantenrisiko weiter in den Mainstream gerückt. Forscher von Google haben Schätzungen veröffentlicht, die darauf hindeuten, dass ein ausreichend fortgeschrittener QuantenComputer könnten eines Tages die Kryptographie von Bitcoin knacken. Wichtige Krypto-Ökosysteme haben bereits begonnen, ihre Reaktionen zu planen. Die Ethereum Foundation hat neue Arten digitaler Signaturen vorgeschlagen, die darauf ausgelegt sind, sicher gegenüber Quantencomputern zu sein, während Solana und andere experimentieren mit quantenresistenten Wallet-Designs. Der Bericht betont, dass die aktuellen Quantenmaschinen bei Weitem nicht leistungsfähig genug sind, um die Kryptografie zu knacken, die Bitcoin, Ethereum und andere Netzwerke absichert. Das Brechen der standardmäßigen Verschlüsselung würde einen enormen Rechenaufwand erfordern, ein Meilenstein, der weiterhin als große ingenieurtechnische Herausforderung gilt. — Margaux Nijkerk Weiterlesen.

In anderen Nachrichten

  • Ein Teil der Kelp DAO-Beute wird nicht mehr bewegt. Der Sicherheitsrat von Arbitrumeinfrieren 30.766 $ETH im Wert von etwa 71 Millionen US-Dollar am Montagabend wurden Gelder, die mit dem $292-Millionen-rsETH-Exploit vom Samstag in Verbindung stehen, in eine Zwischenwallet verschoben, die nur durch weitere Arbitrum-Governance-Maßnahmen zugänglich ist. Der Rat erklärte, er habe auf Anregung der Strafverfolgungsbehörden bezüglich der Identität des Exploiters gehandelt und die Sperrung „ohne Beeinträchtigung von Arbitrum-Nutzern oder -Anwendungen“ durchgeführt. Die Übertragung wurde um 23:26 Uhr ET am 20. April abgeschlossen, so die Erklärung von Arbitrum auf X. Die gestohlenen Gelder befinden sich nicht mehr unter der Kontrolle der Adresse, die sie ursprünglich hielt. — Shaurya Malwa Weiterlesen.
  • EIN Polymarket-Vertrag„ zur Frage, ob Kelp DAO die Verluste aus dem Wochenend-Exploit in Höhe von 292 Millionen US-Dollar über die direkt Betroffenen hinaus verteilen wird, deutet auf eine klare Antwort hin: wahrscheinlich nicht. Die Wettenden sehen eine 14%ige Wahrscheinlichkeit, dass Kelp die Verluste „sozialisieren“ wird, also einen Mechanismus einführt, der rsETH-Inhaber auf Ethereum, das nicht betroffen war, zwingt, die Belastung der Nutzer auf anderen Chains zu teilen. Die Angreifer haben ausgeplündert“etwa 116.500 rsETH von einer LayerZero-betriebenen Brücke, die die Reserven hielt, die den Token über mehr als 20 Blockchains hinweg unterstützten. Dadurch waren Teile des Systems unterbesichert, wobei einige Inhaber im Grunde genommen Token besaßen, die nicht mehr vollständig durch Ether ($ETH) gedeckt waren. „Das Sozialieren der Verluste“ würde bedeuten, dass Kelp das Defizit auf alle rsETH-Inhaber verteilt, einschließlich derjenigen im Ethereum-Hauptnetz, anstatt die Verluste bei den Nutzern und Protokollen zu belassen, die mit der kompromittierten Brücke verbunden sind. Das am häufigsten zitierte Präzedenzbeispiel für diesen Ansatz stammt aus dem Jahr 2016, als Bitfinex Verluste auferlegte bei allen Nutzern nach einem Hack im Wert von 60 Millionen US-Dollar, wodurch der Schaden effektiv gemeinschaftlich getragen wird, um eine Schließung zu vermeiden. — Sam Reynolds Weiterlesen.

Regulierung und Politik

  • Der April scheint für das Crypto Clarity Act eine verlorene Sache zu sein, aber eine Anhörung des Ausschusses des US-Senats irgendwann im Mai könnte die wichtige Gesetzgebung zur Marktstruktur am Leben erhalten, sofern sie bis Juli eine endgültige Abstimmung im gesamten Senat erreichen kann, so Lobbyisten und ein Mitarbeiter eines Abgeordneten, der sich auf den schleppenden Fortschritt des Marktstrukturgesetzes konzentriert. Der Gesetzgebungszeitplan wird für dieses Jahr knapp, aber ein Mitarbeiter des Senats sagte gegenüber CoinDesk, dass eine mögliche neue Verzögerung um ein paar Wochen – die dem republikanischen Senator Thom Tillis Zeit geben würde, Gespräche mit Bankern über Bedenken hinsichtlich der Renditen von Stablecoins abzuschließen – diese Arbeit noch nicht über den Punkt ohne Wiederkehr hinaus verschiebt. Der Mitarbeiter fügte hinzu, dass frühere Verhandlungen über Schutzmaßnahmen für dezentrale Finanzen (DeFi) effektiv abgeschlossen sind und nur wenige weitere Hindernisse einer Ausschussgenehmigung im Weg stehen. Eines der Hauptprobleme, mit denen die Kryptoindustrie konfrontiert ist (falls sie die hartnäckige Hürde der Einwände des Bankensektors gegen Stablecoin-Belohnungen überwinden kann), besteht darin, dass die Anhörung im Ausschuss für Banken des Senats, die das Gesetz bestehen muss, nur ein erster Schritt von vielen wäre. — Jesse Hamilton Weiterlesen.
  • Tron-Schöpfer Justin Sun verklagte am Dienstag World Liberty Financial, das Stablecoin- und Krypto-Unternehmen, das von Mitgliedern der Familie des US-Präsidenten Donald Trump unterstützt wird, und behauptete, dass das Projekt seine $WLFI-Bestände unrechtmäßig eingefroren, betrügerische Falschdarstellungen gemacht sowie Sun bedroht und verleumdet habe. Die eingereichte Klage, welches eine Zeile über Suns Unterstützung für Trump selbst enthält, behauptete, dass die Führung von World Liberty sich „an einem illegalen Plan zur Enteignung von Eigentum“ in Form von Suns Token beteiligt habe, die Sun angeblich nach einer Aufforderung durch das World Liberty-Team im Jahr 2024 erworben habe. „Zu diesem entscheidenden Zeitpunkt für World Liberty investierte Herr Sun 45 Millionen Dollar, um $WLFI-Token von World Liberty zu kaufen, nicht nur wegen der Behauptungen des Projekts, es würde die Akzeptanz dezentraler Finanzsysteme fördern – ein Thema, das Herrn Sun sehr am Herzen liegt und dem er einen Großteil seines Lebenswerks gewidmet hat –, sondern auch aufgrund der Verbindung der Familie Trump mit dem Projekt“, heißt es in der Klage.— Nikhilesh De & Sam Reynolds Weiterlesen.

Kalender

  • 5. bis 7. Mai 2026: Konsens, Miami
  • 2.-3. Juni 2026: Proof of Talk, Paris
  • 8. bis 10. Juni 2026: ETHConf, New York
  • 29. Sept. – 1. Okt. 2026: Korea Blockchain Woche, Seoul
  • 7.-8. Okt. 2026: Token2049, Singapur
  • 3. bis 6. Nov. 2026: Devcon, Mumbai
  • 15.–17. Nov. 2026: Solana Breakpoint, London
coindesk.com