De $293 Miljoen Kelp DAO Les: Waarom Bridges het Nieuwe Slagveld voor DeFi Zijn
Op 18 april 2026 stal de Noord Koreaanse Lazarus Groep $293 miljoen van Kelp DAO door de LayerZero bridge te misleiden met een vervalst bericht. De cascadeschade was enorm: Aave leed een verlies van $230 miljoen door waardeloze rsETH onderpanden, Arbitrum bevroor $71 miljoen, en de hele DeFi markt verloor in paniek...
What happened in the Kelp DAO $293 million exploit—the largest DeFi breach of 2026—including how the North Korea-linked attacker exploited oThe Kelp DAO exploit wasn't a smart contract bug—it was an attack on off-chain bridge infrastructure that no one had audited.
AI Prompt
Create a landscape editorial hero image for this Studio Global article: What happened in the Kelp DAO $293 million exploit—the largest DeFi breach of 2026—including how the North Korea-linked attacker exploited o. Article summary: On April 18, 2026, North Korea's Lazarus Group executed the largest DeFi exploit of the year, draining ~$293 million (116,500 rsETH) from Kelp DAO's cross-chain bridge by attacking off-chain LayerZero infrastructure — no. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "Kelp DAO exploit,DeFi security 2026,cross-chain bridge risks,crypto hack analysis,LayerZero vulnerability,institutional crypto adoption. # Kelp DAO Exploit: How a $293 Million DeFi" source context "Kelp DAO Exploit: $293M DeFi Hack Exposes Critical Security Risks ..." Reference image 2: visual subject "# The $290
openai.com
Op 18 april 2026, om 17:35 UTC, riep een aanvaller één functie aan op de LayerZero-bridge van Kelp DAO en liep weg met 116.500 rsETH – op dat moment zo'n $293 miljoen en 18% van de totale circulerende voorraad van de token. Het duurde 46 minuten. De aanvaller buitte geen kwetsbaarheid in een smart contract uit, maar viel infrastructuur aan waar niemand aan had gedacht om te controleren.
De hack, toegeschreven aan de Noord-Koreaanse Lazarus Groep, is de grootste DeFi-aanval van 2026 en overtrof de $285 miljoen hack van Drift Protocol op 1 april – eveneens het werk van Lazarus, via zes maanden van social engineering. Samen brachten deze twee incidenten het totaal door Noord-Korea gestolen crypto in 18 dagen op meer dan $578 miljoen, goed voor 76% van de totale hackwaarde in 2026 op dat moment .
Maar de Kelp DAO-aanval was anders. Het was geen kwetsbaarheid op codeniveau. Het was een structureel falen in hoe DeFi vertrouwt op cross-chain berichten – en de nasleep legde een blinde vlek bloot die de hele industrie nu met spoed probeert te dichten.
Hoe de aanval in zijn werk ging: een één-op-één verificateur en een vervalst bericht
Kelp DAO is een liquid restaking-protocol dat rsETH uitgeeft op meer dan 20 blockchain-netwerken via een LayerZero Omnichain Fungible Token (OFT)-bridge . Wanneer een gebruiker rsETH terug overbrugt naar het Ethereum-mainnet, bezorgt de berichtenlaag van LayerZero een cross-chain instructie die het bridge-contract op het mainnet vertelt om de tokens uit escrow vrij te geven.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
What is the short answer to "De $293 Miljoen Kelp DAO Les: Waarom Bridges het Nieuwe Slagveld voor DeFi Zijn"?
Op 18 april 2026 stal de Noord Koreaanse Lazarus Groep $293 miljoen van Kelp DAO door de LayerZero bridge te misleiden met een vervalst bericht.
What are the key points to validate first?
Op 18 april 2026 stal de Noord Koreaanse Lazarus Groep $293 miljoen van Kelp DAO door de LayerZero bridge te misleiden met een vervalst bericht. De cascadeschade was enorm: Aave leed een verlies van $230 miljoen door waardeloze rsETH onderpanden, Arbitrum bevroor $71 miljoen, en de hele DeFi markt verloor in paniek $13 miljard aan vastgezette waarde.
What should I do next in practice?
De structurele les is dat DeFi beveiligingsaudits zich blindstaarden op code, terwijl bridge configuraties en operationele beveiliging van nodes onbelicht bleven.
De veiligheid van die vrijgave hangt af van Decentralized Verifier Networks (DVN's), off-chain nodes die bevestigen dat het bericht geldig is. Kelp DAO had zijn bridge geconfigureerd met een DVN-drempelwaarde van 1-op-1, wat betekende dat de goedkeuring van één enkele verificateur voldoende was om elk cross-chain bericht te autoriseren .
De aanvaller compromitteerde de interne RPC-nodes van Kelp en voerde een DDoS-aanval uit op externe nodes, waardoor alleen die ene verificateur operationeel bleef. Vervolgens voedde hij deze met een vervalst bericht dat beweerde dat er 116.500 rsETH waren verbrand op de bronketen. De verificateur bevestigde het bericht en het Ethereum-contract gehoorzaamde. De tegoeden werden vrijgegeven aan een adres dat door de aanvaller werd beheerd .
Chainalysis bevestigde dat elke on-chain transactie er legitiem uitzag voor standaard beveiligingstools, omdat de inbraak volledig off-chain plaatsvond op het niveau van infrastructuur en nodes . Traditionele smart contract-audits waren irrelevant.
De emergency multisig van Kelp zette de contracten 46 minuten na de eerste diefstal stil, waardoor een extra verlies van ~$200 miljoen aan vervolgaanvallen werd voorkomen .
Witwassen: hoe $220 miljoen in zes weken verdween
De aanvaller bleef niet op de gestolen tokens zitten. Binnen enkele uren was 89.567 van de 116.500 ongedekte rsETH gestort als onderpand op Aave V3, en de aanvaller leende ongeveer 82.650 WETH en 821 wstETH – schone, liquide activa – voordat iemand de posities kon bevriezen . Vergelijkbare leningen vonden plaats op Compound en Euler, wat in totaal zo'n 74.000 schone ETH opleverde .
Toen begon het witwassen pas echt.
Gedurende de volgende zes weken waste de aanvaller bijna alle niet-bevroren gestolen tegoeden wit – ongeveer $220 miljoen – waardoor per 1 juni 2026 nog maar zo'n $1,7 miljoen traceerbaar was in de oorspronkelijke wallets van de aanvaller . Het witwastraject volgde een doelbewust tweefasenpatroon:
Fase één: Tornado Cash werd gebruikt om de initiële on-chain links te verbreken en de transactiegrafiek te vertroebelen .
Fase twee: Tegoeden werden via Wasabi Wallet voor CoinJoin-achtige Bitcoin-mixing geleid en vervolgens via cross-chain protocollen – voornamelijk THORChain, dat ongeveer $80 miljoen aan ETH-naar-Bitcoin swaps verwerkte in één periode van 24 uur – terug naar Ethereum overbrugd. Deze activiteit stuwde het swapvolume van THORChain naar $394 miljoen, ongeveer 11 keer het dagelijkse gemiddelde .
TRM Labs bevestigde later dat THORChain fungeerde als de consistente bridge bij uitstek voor de grootste Noord-Koreaanse kraken, zonder dat een operator bereid was om tegoeden te bevriezen of transfers te weigeren tijdens de Bybit-kraak van 2025 of de KelpDAO-exploit .
NS3.AI wees ook op een nieuw detail: de aanvallers gebruikten LayerZero zelf om minstens $500.000 van de gestolen tegoeden over ketens te verplaatsen tijdens de witwasfase – de eerste geregistreerde keer dat dezelfde applicatie werd misbruikt voor zowel de diefstal als een deel van het witwassen .
De bevriezing door de Arbitrum Security Council: $71 miljoen onderschept
Niet al het geld ontsnapte. Op 20 april 2026 om 23:26 ET voerde de Arbitrum Security Council een noodactie uit om 30.766 ETH – ongeveer $71 miljoen, oftewel een kwart van het totaal gestolen bedrag – te bevriezen op een door de aanvaller beheerd adres op Arbitrum One .
De Council handelde met input van wetshandhaving en verplaatste de tegoeden naar een door governance beheerde tussenwallet. Negen van de twaalf council-leden stemden voor de bevriezing . De tegoeden kunnen alleen worden vrijgegeven via een formele Arbitrum-governancestemming .
Op 8 mei 2026 keurde de Arbitrum Security Council een gezamenlijk voorstel goed om die tegoeden te deblokkeren, met als doel het herstel van rsETH-onderpand te versnellen en liquiditeit voor getroffen gebruikers te herstellen. Het herstelproces loopt nog, met betrokkenheid van wetshandhaving .
De wake-up call van $230 miljoen voor Aave en de herziening van het risicoraamwerk
Aave incasseerde de zwaarste tweedelijnsschade. De aanvaller stortte 89.567 valse rsETH in Aave V3 en leende ongeveer $230 miljoen aan schone activa – leningen die oninbare schulden werden zodra duidelijk werd dat de rsETH ongedekt was .
Aave's Protocol Guardian bevroor rsETH- en wrsETH-reserves op alle V3-deployments rond 19:00 UTC op 18 april, waarbij de loan-to-value-ratio's op nul werden gezet voor 11 getroffen markten, waaronder Ethereum, Arbitrum, Avalanche en Optimism . Het lenen van WETH – een kernonderdeel van de financiële infrastructuur van DeFi – was effectief bevroren op zes netwerken.
Medio mei 2026 was meer dan 95% van de ongedekte tokens teruggevorderd, en het resterende tekort zal naar verwachting worden gedekt door de Aave DAO-treasury en de DeFi United-coalitie . Aave herstelde de normale WETH-leenlimieten op zes V3-netwerken op 18 mei 2026 .
Maar de echte erfenis is de governance-reactie. Tijdens Consensus Miami 2026 kondigde Linda Jeng, Chief Legal and Policy Officer van Aave Labs, een fundamentele herziening aan van de standaarden voor het toelaten van activa en het evalueren van onderpand . Het nieuwe raamwerk gaat verder dan traditionele financiële risicomaatstaven en omvat nu:
Kwetsbaarheden op het gebied van cybersecurity en operationele beveiliging
Afhankelijkheden van bridge-infrastructuur en risico's van één-verificateur configuraties
Afhankelijkheden van orakels en derdencontracten
Bewaarregelingen en interoperabiliteitsrisico's tussen composable protocollen
Aave heeft al 295 risicoparameters aangepast en geautomatiseerde verdedigingsmechanismen toegevoegd die de loan-to-value-ratio van een activa naar nul kunnen verlagen wanneer vooraf gedefinieerde risicodrempels worden overschreden . Het protocol is een volledige review gestart van elk activum op V3 en herschrijft de toelatingsstandaarden van de grond af aan .
Het grotere plaatje: bridges zijn nu het primaire aanvalsoppervlak van DeFi
De Kelp DAO-hack stond niet op zichzelf. Het was de tweede bridge-exploit van negen cijfers in 18 dagen, na de $285 miljoen social engineering-inbraak bij Drift Protocol op 1 april – ook toegeschreven aan de Lazarus Groep . Samen zorgden deze incidenten ervoor dat de DeFi-verliezen in de eerste helft van 2026 de $840 miljoen overschreden .
De systemische nasleep was vele malen groter dan de directe diefstal. Binnen 48 uur na de Kelp DAO-exploit verdampte $13,21 miljard aan total value locked (TVL) over de hele DeFi-markt, waarbij Aave alleen al 43% van zijn TVL verloor over 26 gevolgde protocollen . Een opnamepaniek van $5,4 miljard overspoelde het ecosysteem .
De aanval legde bloot wat Chainalysis een kritieke structurele blinde vlek noemde: DeFi-beveiliging had zich overweldigend gericht op smart contract-audits, terwijl bridge-infrastructuur, operationele node-beveiliging en configuraties met één verificateur grotendeels onbekeken risicovectoren bleven .
De oplossing is al in de maak. Protocollen migreren naar bridge-configuraties met meerdere verificateurs. Aave's nieuwe toelatingshandboek – dat naar verwachting wordt gepubliceerd als een formele leidraad voor asset-uitgevers – zal van projecten vereisen dat ze bridge-architectuur, decentralisatie van verificateurs en node-beveiligingspraktijken openbaar maken voordat rsETH-achtige afgeleide producten als onderpand kunnen worden geaccepteerd .
Lazarus buitte een kloof uit tussen wat DeFi controleerde en waar DeFi daadwerkelijk van afhankelijk was. De reactie van de industrie suggereert dat deze kloof eindelijk wordt gedicht – maar pas na een les van $293 miljoen.
Comments
0 comments