Inden i Kelp DAO's $293M Kup: Broangrebet, der Omskrev Sikkerheden i DeFi
Den 18. april 2026 stjal Nordkoreas Lazarus gruppe 293 millioner dollars fra Kelp DAO ved at snyde dens LayerZero bro til at præge 116.500 ubakset rsETH – et angreb på off chain infrastruktur, ikke en fejl i en smart...
What happened in the Kelp DAO $293 million exploit—the largest DeFi breach of 2026—including how the North Korea-linked attacker exploited oThe Kelp DAO exploit wasn't a smart contract bug—it was an attack on off-chain bridge infrastructure that no one had audited.
AI Prompt
Create a landscape editorial hero image for this Studio Global article: What happened in the Kelp DAO $293 million exploit—the largest DeFi breach of 2026—including how the North Korea-linked attacker exploited o. Article summary: On April 18, 2026, North Korea's Lazarus Group executed the largest DeFi exploit of the year, draining ~$293 million (116,500 rsETH) from Kelp DAO's cross-chain bridge by attacking off-chain LayerZero infrastructure — no. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "Kelp DAO exploit,DeFi security 2026,cross-chain bridge risks,crypto hack analysis,LayerZero vulnerability,institutional crypto adoption. # Kelp DAO Exploit: How a $293 Million DeFi" source context "Kelp DAO Exploit: $293M DeFi Hack Exposes Critical Security Risks ..." Reference image 2: visual subject "# The $290
openai.com
Kl. 17:35 UTC den 18. april 2026 kaldte en angriber en enkelt funktion på Kelp DAO's LayerZero-drevne tværkædebro og forlod den med 116.500 rsETH – et beløb svarende til cirka 293 millioner dollars og 18 % af tokenens samlede udbud i omløb . Det tog 46 minutter. Angriberen udnyttede ikke en fejl i en smart kontrakt. De angreb infrastruktur, som ingen havde tænkt på at revidere.
Bruddet, der tilskrives Nordkoreas berygtede Lazarus-gruppe, er det største DeFi-kup i 2026 og overskygger det på 285 millioner dollars mod Drift Protocol den 1. april – også Lazarus' værk, opnået gennem seks måneders social ingeniørkunst . Tilsammen har disse to hændelser presset den samlede mængde krypto stjålet af Nordkorea over 578 millioner dollars på bare 18 dage, hvilket på det tidspunkt udgjorde 76 % af al hack-værdi i 2026 .
Men Kelp DAO-angrebet var anderledes. Det var ikke en sårbarhed på kodeniveau. Det var en strukturel fejl i, hvordan DeFi stoler på tværkædebeskeder – og nedfaldet afslørede en blind vinkel, som hele industrien nu febrilsk forsøger at lukke.
Sådan fungerede angrebet i praksis: En 1-af-1-verifikator og en forfalsket besked
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
What is the short answer to "Inden i Kelp DAO's $293M Kup: Broangrebet, der Omskrev Sikkerheden i DeFi"?
Den 18. april 2026 stjal Nordkoreas Lazarus gruppe 293 millioner dollars fra Kelp DAO ved at snyde dens LayerZero bro til at præge 116.500 ubakset rsETH – et angreb på off chain infrastruktur, ikke en fejl i en smart...
What are the key points to validate first?
Den 18. april 2026 stjal Nordkoreas Lazarus gruppe 293 millioner dollars fra Kelp DAO ved at snyde dens LayerZero bro til at præge 116.500 ubakset rsETH – et angreb på off chain infrastruktur, ikke en fejl i en smart... Nedbrydningsskaderne ramte Aave med et tab på 230 millioner dollars i uerholdelig gæld fra falsk rsETH sikkerhedsstillelse, tvang Arbitrums Sikkerhedsråd til at indefryse 71 millioner dollars og udløste en likviditets...
What should I do next in practice?
Den strukturelle lektie: DeFi sikkerhedsrevisioner har været laserfokuserede på smarte kontrakter, mens man ignorerede bro verifikator konfigurationer, driftsikkerhed omkring noder og off chain beskedlag – sårbarheder...
Kelp DAO er en likvid restaking-protokol, der udsteder rsETH på tværs af mere end 20 blockchain-netværk via en LayerZero Omnichain Fungible Token (OFT)-bro . Når en bruger sender rsETH tilbage til Ethereums hovednet, leverer LayerZeros beskedlag en tværkædeinstruks, som fortæller brokontrakten på hovednettet, at den skal frigive tokens fra depotet.
Sikkerheden i denne frigivelse afhænger af "Decentralized Verifier Networks" (DVN'er), som er off-chain noder, der attesterer, at beskeden er gyldig. Kelp DAO konfigurerede sin bro med en 1-af-1 DVN-tærskel, hvilket betyder, at en enkelt verificeringsnode var nok til at autorisere enhver tværkædebesked .
Angriberen kompromitterede Kelps interne RPC-noder og DDoS-angreb eksterne noder, så kun denne ene verificeringsnode var operationel. Derefter fodrede de noden med en forfalsket besked, der hævdede, at 116.500 rsETH var blevet "brændt" på kildekæden. Noden attesterede beskeden. Ethereum-kontrakten adlød. Midlerne blev frigivet til en adresse kontrolleret af angriberen .
Chainalysis bekræftede, at alle on-chain transaktioner så legitime ud for standard sikkerhedsværktøjer, fordi bruddet fandt sted fuldstændig off-chain på infrastruktur- og node-niveau . Traditionelle revisioner af smarte kontrakter var irrelevante.
Kelps nød-multisig pause satte kontrakterne i bero 46 minutter efter det første dræn, hvilket forhindrede yderligere opfølgningsangreb for cirka 200 millioner dollars .
Hvidvask: Sådan forsvandt 220 millioner dollars på seks uger
Angriberen sad ikke stille på de stjålne tokens. Inden for få timer var 89.567 af de 116.500 ubaksede rsETH blevet deponeret som sikkerhed i Aave V3, og angriberen lånte omkring 82.650 WETH og 821 wstETH – rene, likvide aktiver – før nogen kunne nå at indefryse positionerne . Lignende pantsat låntagning fandt sted på Compound og Euler, hvilket trak cirka 74.000 ren ETH ud .
Derefter begyndte hvidvasken for alvor.
Over de følgende seks uger hvidvaskede angriberen næsten alle de uindefrosne stjålne midler – cirka 220 millioner dollars – og efterlod kun omkring 1,7 millioner dollars sporbart i de oprindelige exploit-wallets pr. 1. juni 2026 . Hvidvaskkæden fulgte et bevidst mønster i to faser:
Fase et: Tornado Cash blev brugt til at skære de indledende on-chain forbindelser over og sløre transaktionsgrafen .
Fase to: Midlerne blev sendt gennem Wasabi Wallet for CoinJoin-lignende Bitcoin-mixing, derefter broet tilbage til Ethereum via tværkædeprotokoller – primært THORChain, som håndterede omkring 80 millioner dollars i ETH-til-Bitcoin swappå en enkelt dag, hvilket pressede THORChains swap-volumen til 394 millioner dollars, cirka 11 gange dens daglige gennemsnit .
TRM Labs bekræftede senere, at THORChain fungerede som den konsekvent foretrukne bro på tværs af Nordkoreas største kup, uden at nogen operatør var villig til at indefryse eller afvise overførsler, hverken under Bybit-bruddet i 2025 eller KelpDAO-angrebet .
NS3.AI bemærkede også en ny detalje: angriberne brugte selveste LayerZero til at flytte mindst 500.000 dollars af de stjålne midler på tværs af kæder under hvidvaskfasen – hvilket markerer den første registrerede hændelse, hvor den samme applikation blev udnyttet til både tyveriet og en del af hvidvasken .
Arbitrums Sikkerhedsråd indefryser: 71 millioner dollars stoppet i farten
Ikke alle midlerne slap væk. Den 20. april 2026 kl. 23:26 ET udførte Arbitrums Sikkerhedsråd en nødaktion for at indefryse 30.766 ETH – cirka 71 millioner dollars, eller omkring en fjerdedel af det samlede stjålne beløb – som befandt sig på en adresse kontrolleret af angriberen på Arbitrum One .
Rådet handlede efter input fra retshåndhævende myndigheder og flyttede midlerne til en mellem-wallet kontrolleret af governance. Ni af tolv rådsmedlemmer stemte for indefrysningen . Midlerne kan kun frigives gennem en formel afstemning i Arbitrums governance .
Den 8. maj 2026 godkendte Arbitrums Sikkerhedsråd et fælles forslag om at frigive disse midler med det formål at fremskynde genopretningen af rsETH-sikkerhed og genoprette likviditet for berørte brugere. Genopretningsprocessen er stadig i gang med involvering af retshåndhævende myndigheder .
Aaves 230 millioner dollars vækkeklokke og overhaling af risikorammen
Aave bar den mest alvorlige andenhåndsskade. Angriberen deponerede 89.567 falske rsETH i Aave V3 og lånte cirka 230 millioner dollars i rene aktiver – lån, der blev til uerholdelig gæld, så snart det stod klart, at rsETH ikke havde nogen bagvedliggende sikkerhed .
Aaves "Protocol Guardian" indefrøs rsETH- og wrsETH-reserver på tværs af alle V3-implementeringer omkring kl. 19:00 UTC den 18. april og satte belåningsgraden (LTV) til nul på tværs af 11 berørte markeder, herunder Ethereum, Arbitrum, Avalanche og Optimism . Lån mod WETH – en central del af DeFis finansielle infrastruktur – blev reelt indefrosset på seks netværk.
I midten af maj 2026 var over 95 % af de ubaksede tokens blevet genoprettet, og den resterende manko forventedes dækket af Aave DAO's statskasse og DeFi United-koalitionen . Aave genoprettede normale WETH-lånegrænser på tværs af seks V3-netværk den 18. maj 2026 .
Men den egentlige arv er governance-reaktionen. Ved Consensus Miami 2026 annoncerede Linda Jeng, Chief Legal and Policy Officer hos Aave Labs, en grundlæggende overhaling af protokollens standarder for aktivlister og vurdering af sikkerhed . Den nye ramme udvider ud over traditionelle finansielle risikomålinger til at omfatte:
Cybersikkerhedssårbarheder og driftsikkerhed
Afhængigheder af bro-infrastruktur og risici ved enkelt-verifikatorer
Afhængigheder af orakler og eksponering mod tredjeparts kontrakter
Deponeringsordninger og interoperabilitetsrisici på tværs af sammensatte protokoller
Aave har allerede justeret 295 risikoparametre og tilføjet automatiserede forsvar, der kan reducere en aktivs belåningsgrad (LTV) til nul, når foruddefinerede risikotærskler udløses . Protokollen er i gang med en fuld gennemgang af hvert aktiv listet på V3 og omskriver sine listeringsstandarder fra bunden .
Det større billede: Broer er nu DeFis primære angrebsflade
Kelp DAO skete ikke isoleret. Det var det andet angreb mod en bro til en værdi i milliardklassen på 18 dage, efter Drift Protocols socialt manipulerede brud på 285 millioner dollars den 1. april – også tilskrevet Lazarus-gruppen . Tilsammen pressede de to hændelser DeFi-tabene i starten af 2026 over 840 millioner dollars .
Den systemiske nedbrydning overskyggede langt det direkte tyveri. Inden for 48 timer efter Kelp DAO-angrebet forsvandt 13,21 milliarder dollars i total låst værdi (TVL) på tværs af DeFi, og Aave alene mistede 43 % af sin TVL over 26 sporede protokoller . En udtrædelsespanik på 5,4 milliarder dollars skyllede gennem økosystemet .
Angrebet afslørede, hvad Chainalysis kaldte en kritisk strukturel blind vinkel: DeFi-sikkerhed havde overvældende fokuseret på revision af smarte kontrakter, mens bro-infrastruktur, driftsikkerhed omkring noder og konfigurationer med enkelt-verifikatorer forblev stort set uundersøgte risikovektorer .
Løsningen er allerede i gang. Protokoller migrerer til brokonfigurationer med flere verifikatorer. Aaves nye noteringshåndbog – der forventes udgivet som en formel drejebog for aktivudstedere – vil kræve, at projekter afslører bro-arkitektur, decentralisering af verifikatorer og sikkerhedspraksis for noder, før derivater som rsETH kan optages som sikkerhed .
Lazarus udnyttede en kløft mellem, hvad DeFi reviderede, og hvad DeFi reelt var afhængigt af. Branchens reaktion tyder på, at denne kløft endelig er ved at lukkes – men først efter en lektion, der kostede 293 millioner dollars.
thestreet.com
Major DeFi hack becomes the largest of 2026 yet - TheStreet Crypto
Comments
0 comments