ist zu einer wegweisenden Fallstudie über systematische DeFi-Risiken geworden. Hier sind die erweiterten Informationen über die Geldwäscheoperation, den Aave-Liquiditätszusammenbruch und die spezifischen Sicherheitsversagen, die beteiligt waren.


1. Die Geldwäsche: Ein Meisterkurs in interchain Geschwindigkeit


Der Ausbeuter, verbunden mit Nordkoreas Lazarus-Gruppe, führte eine hochgradig effiziente Exit-Strategie durch, nachdem er 116.500 rsETH (ca. $292M) aus dem Nichts mittels eines Message-Fälschungsangriffs geprägt hatte.


• THORChain als Black Box: Innerhalb von 36 Stunden nach dem Hack leiteten die Angreifer fast 75.700 ETH ($175M) über THORChain, tauschten es direkt in Native Bitcoin. Durch die Nutzung der erlaubnisfreien, nicht verwahrenden Nodes von THORChain umgingen sie erfolgreich die Sperrungen zentralisierter Börsen (CEX) und mischten die Gelder vor dem Bitcoin-Rallye auf $78.400.


• Der Arbitrum "Stumble": Die einzige nennenswerte Erholung fand am 21. April statt, als der Arbitrum Security Council Notfallinterventionsbefugnisse nutzte, um 30.766 ETH (71 Mio. $) einzufrieren, die im Arbitrum One Netzwerk gehalten wurden. Dies war ein "jurisdiktionaler" Sieg: Während der Rat die Mittel auf ihrem Layer 2 "zurückstehlen" konnte, hatte er keine Macht über die verbleibenden 175 Mio. $ auf dem Ethereum Mainnet.


• Datenschicht: Kleine Teile der Beute (ca. 78.000 $) wurden ebenfalls über das Umbra-Datenschutzprotokoll bewegt, um die digitale Spur weiter zu verschleiern.


2. Aaves 16 Mrd. $ "Geist" Krise


Aaves TVL ist nicht nur gefallen; es hat einen strukturellen Liquiditätskollaps erlitten. Obwohl Aaves Kern-Smart Contracts sicher blieben, wurde das Risikomanagement des Protokolls vom Hacker militärisch genutzt.


• Schlechte Schuldenmechanik: Der Hacker hat das ungesicherte rsETH als Sicherheiten in Aave V3 hinterlegt, um 190 Mio. $ in WETH und anderen Vermögenswerten zu leihen. Da das rsETH keinen realen Wert hatte, blieb Aave mit geschätzten 196 Mio. $ bis 230 Mio. $ an schlechten Schulden zurück, nachdem die KelpDAO-Brücke als kompromittiert bestätigt wurde.


• Die 100% Auslastungsfalle: Als Wale und Institutionen (einschließlich Justin Sun) hastig abzuheben versuchten, erreichten die WETH- und USDT-Märkte eine 100%ige Auslastung. Das bedeutete, dass viele reguläre Einleger effektiv eingesperrt waren und ihre Gelder nicht abheben konnten, weil die Pools durch die Panik vollständig entleert waren.


• Flucht zur Qualität: Über 1,3 Mrd. $ des abgehobenen Kapitals wurden sofort in SparkLend und andere "harte" Sicherheiten-Protokolle umgeschichtet, was einen massiven Glaubensverlust an Liquid Restaking Tokens (LRTs) als tragfähige Sicherheiten signalisiert.


3. Brückensicherheit: Der "1-von-1" Single Point of Failure


Die Nachuntersuchung von Chainalysis und LayerZero Labs ergab, dass dies kein Codefehler war, sondern eine Übernahme der Infrastruktur.


• Der RPC-Kompromiss: Die Lazarus-Gruppe hat die Smart Contracts nicht gehackt. Stattdessen haben sie die internen RPC-Knoten, die vom LayerZero Decentralized Verifier Network (DVN) verwendet werden, kompromittiert. Sie haben gefälschte Daten an den Verifier gesendet und gleichzeitig einen DDoS-Angriff auf externe Knoten gestartet, um zu verhindern, dass diese die Lüge "korrigieren".


• Die 1-von-1 Konfiguration: Ein großer öffentlicher Streit brach zwischen KelpDAO und LayerZero aus. LayerZero enthüllte, dass KelpDAO ein 1-von-1 DVN-Setup verwendet hatte – was bedeutet, dass nur ein Verifier getäuscht werden musste, um die Brückenmittel freizugeben.


• Lazarus-Sophistication: Die auf den RPC-Knoten verwendete Malware wurde so entwickelt, dass sie sich selbst zerstört und alle Protokolle/Binärdateien löscht, sobald die 292 Mio. $ freigegeben wurden, wodurch den Ermittlern eine "kalte" digitale Tatort hinterlassen wurde.


Die entscheidende Erkenntnis für 2026


Dieses Ereignis bestätigt, dass zwar der On-Chain-Code sicherer wird, die Off-Chain-Infrastruktur (RPCs/Orakel) und die Konfigurationen von Cross-Chain-Verifizierern jetzt die Hauptziele sind. Die "Kelp-Contagion" hat einen massiven branchenweiten Wandel hin zu Multi-Sig DVNs und niedrigeren LTVs für restakete Vermögenswerte erzwungen. 🛡️🌉📉


\u003ct-294/\u003e \u003ct-296/\u003e \u003ct-298/\u003e\u003ct-299/\u003e\u003ct-300/\u003e \u003ct-302/\u003e #BridgeSecurity #Arbitrum \u003ct-304/\u003e

Vollständige Geldwäsche-Operation

Der KelpDAO-Exploiter hat fast alle 75.700 gestohlenen ETH (im Wert von 175 Mio. $) in Bitcoin über THORChain in nur 36 Stunden umgetauscht, wodurch die Wiederherstellung auf den eingefrorenen Teil von Arbitrum beschränkt wurde.

DeFi-Contagion breitet sich aus

Aave TVL ist von 45,8 Mrd. $ auf 29,6 Mrd. $ gefallen, was einem Verlust von 16,2 Mrd. $ an Einlagen entspricht, während der Exploit 230 Mio. $ schlechte Schulden erzeugte und Panikabhebungen über Protokolle auslöste, die keine direkte Exposition hatten.

Brückensicherheitskrise

LayerZero führte den Angriff auf die Lazarus-Gruppe aus Nordkorea zurück und hob hervor, dass Cross-Chain-Brücken weiterhin das schwächste Glied sind, wobei die Exploit-Verluste von 2026 den Werten von 2025 entsprechen.\u003cc-207/\u003e

ETH
ETH
1,755.8
+1.18%