Kelp-DAO-Bridge gehackt: 292 Mio. US-Dollar bei Cross-Chain-Angriff gestohlen

Wie CoinDesk berichtet, ist eine Schwachstelle bei Kelp DAO ausgenutzt worden: Eine Cross-Chain-Bridge, die fast ein Fünftel des umlaufenden Angebots an restaked ETH absicherte, wurde leergeräumt. Die Folgen breiten sich im DeFi-Sektor schneller aus als die Aussetzung der Kelp-DAO-Contracts. Demnach griff der Angreifer am vergangenen Wochenende um 17:35 UTC die von LayerZero unterstützte Bridge von Kelp DAO an. Entwendet wurden Token im Gegenwert von rund 292 Mio. US-Dollar (zu aktuellen Kursen). Das entspricht etwa 18% des von CoinGecko erfassten rsETH-Umlaufs von 630.000 Token. LayerZero ist eine Cross-Chain-Messaging-Schicht, über die verifizierte Anweisungen zwischen verschiedenen Blockchains übertragen werden. Kelp DAO betreibt ein Liquid-Restaking-Protokoll: Nutzer zahlen ETH ein, diese werden über EigenLayer weitergeleitet, um zusätzliche Renditen über die üblichen Ethereum-Staking-Erträge hinaus zu erzielen. Als handelbarer Token wird rsETH ausgegeben. Die kompromittierte Bridge hielt rsETH-Reserven, die als Deckung für „gewrapte“ rsETH-Varianten dienten, die auf mehr als 20 weiteren Blockchains ausgegeben wurden. Der Angreifer täuschte LayerZeros Messaging-Layer, sodass eine angeblich gültige Anweisung aus einem anderen Netzwerk akzeptiert wurde. Dadurch gab die Bridge 116.500 rsETH an vom Angreifer kontrollierte Adressen frei. Kelp DAOs Notfall-Pause per Multisig fror die Kern-Contracts 46 Minuten nach dem erfolgreichen Diebstahl ein (18:21 UTC). Zwei weitere Versuche um 18:26 und 18:28 UTC scheiterten. In beiden Fällen wurde dasselbe LayerZero-Datenpaket verwendet, um weitere 40.000 rsETH im Wert von rund 100 Mio. US-Dollar zu erbeuten. Shorya Malwa