Innsiden av Kelp DAO-ranet på 293 millioner dollar: Slik knuste Lazarus DeFi uten å røre en smartkontrakt
18. april 2026 stjal Nord Koreas Lazarus gruppe 293 millioner dollar fra Kelp DAO ved å lure LayerZero broen til å utstede 116 500 falske rsETH – et angrep på infrastruktur utenfor blokkjeden, ikke en smartkontraktsfeil.
What happened in the Kelp DAO $293 million exploit—the largest DeFi breach of 2026—including how the North Korea-linked attacker exploited oThe Kelp DAO exploit wasn't a smart contract bug—it was an attack on off-chain bridge infrastructure that no one had audited.
AI Prompt
Create a landscape editorial hero image for this Studio Global article: What happened in the Kelp DAO $293 million exploit—the largest DeFi breach of 2026—including how the North Korea-linked attacker exploited o. Article summary: On April 18, 2026, North Korea's Lazarus Group executed the largest DeFi exploit of the year, draining ~$293 million (116,500 rsETH) from Kelp DAO's cross-chain bridge by attacking off-chain LayerZero infrastructure — no. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "Kelp DAO exploit,DeFi security 2026,cross-chain bridge risks,crypto hack analysis,LayerZero vulnerability,institutional crypto adoption. # Kelp DAO Exploit: How a $293 Million DeFi" source context "Kelp DAO Exploit: $293M DeFi Hack Exposes Critical Security Risks ..." Reference image 2: visual subject "# The $290
openai.com
Klokken 17:35 UTC den 18. april 2026 kalte en angriper en enkelt funksjon på Kelp DAOs LayerZero-drevne kjedebro og forsvant med 116 500 rsETH – omtrent 293 millioner dollar og 18 prosent av tokenets totale sirkulerende beholdning. Det tok 46 minutter. Angriperen utnyttet ikke en smartkontraktsfeil. De angrep infrastruktur ingen hadde tenkt på å revidere.
Innbruddet, tilskrevet Nord-Koreas Lazarus-gruppe, er det største DeFi-ranet i 2026 og overgår Drift Protocol-hacket på 285 millioner dollar fra 1. april – også Lazarus’ verk, oppnådd gjennom seks måneder med sosial manipulering . Sammen presset disse to hendelsene den totale kryptovalutaen stjålet av Nord-Korea forbi 578 millioner dollar på 18 dager, noe som utgjorde 76 prosent av all hackverdi i 2026 på det tidspunktet .
Men Kelp DAO-angrepet var annerledes. Det var ikke en sårbarhet på kodenivå. Det var en strukturell svikt i hvordan DeFi stoler på meldinger på tvers av blokkjeder – og ringvirkningene avslørte en blindsone hele bransjen nå kjemper for å tette.
Slik fungerte angrepet egentlig: en 1-av-1-verifikator og en forfalsket melding
Kelp DAO er en likvid restakingsprotokoll som utsteder rsETH på tvers av mer enn 20 blokkjedenettverk via en LayerZero Omnichain Fungible Token-bro . Når en bruker sender rsETH tilbake til Ethereum-hovednettet, leverer LayerZeros meldingslag en krysskjedeinstruksjon som ber hovednettets brokontrakt om å frigjøre tokenene fra depotet.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
What is the short answer to "Innsiden av Kelp DAO-ranet på 293 millioner dollar: Slik knuste Lazarus DeFi uten å røre en smartkontrakt"?
18. april 2026 stjal Nord Koreas Lazarus gruppe 293 millioner dollar fra Kelp DAO ved å lure LayerZero broen til å utstede 116 500 falske rsETH – et angrep på infrastruktur utenfor blokkjeden, ikke en smartkontraktsfeil.
What are the key points to validate first?
18. april 2026 stjal Nord Koreas Lazarus gruppe 293 millioner dollar fra Kelp DAO ved å lure LayerZero broen til å utstede 116 500 falske rsETH – et angrep på infrastruktur utenfor blokkjeden, ikke en smartkontraktsfeil. Ringvirkningene rammet Aave med et tap på 230 millioner dollar i uerholdelig gjeld fra falsk rsETH sikkerhet, tvang Arbitrum Security Council til å fryse 71 millioner dollar, og utløste en likviditetspanikk på 13 mill...
What should I do next in practice?
Den strukturelle lærdommen: DeFi sikkerhetsrevisjoner har vært laserfokusert på smartkontrakter, mens broverifikator konfigurasjoner, operasjonell nodesikkerhet og meldingslag utenfor blokkjeden forble uutforskede ris...
Sikkerheten til denne frigjøringen avhenger av desentraliserte verifikatornettverk – noder utenfor blokkjeden som bekrefter at meldingen er gyldig. Kelp DAO konfigurerte broen sin med en 1-av-1 DVN-terskel, noe som betydde at én enkelt verifikator var nok til å autorisere enhver krysskjedemelding .
Angriperen kompromitterte Kelps interne RPC-noder og DDoS-angrep eksterne noder, slik at bare den ene verifikatoren var operativ. De matet den med en forfalsket melding som hevdet at 116 500 rsETH var blitt brent på kildekjeden. Verifikatoren bekreftet meldingen. Ethereum-kontrakten adlød. Midlene ble frigitt til en adresse kontrollert av angriperen .
Chainalysis bekreftet at hver transaksjon på blokkjeden fremsto som legitim for standard sikkerhetsverktøy, fordi innbruddet skjedde fullstendig utenfor blokkjeden, på infrastruktur- og nodenivå . Tradisjonelle revisjoner av smartkontrakter var irrelevante.
Kelps nødmultisignatur stanset kontraktene 46 minutter etter den første tømmingen, og forhindret ytterligere ~200 millioner dollar i oppfølgingsangrep .
Hvitvasking: slik forsvant 220 millioner dollar på seks uker
Angriperen satt ikke på de stjålne tokenene. I løpet av timer var 89 567 av de 116 500 udekkede rsETH satt inn i Aave V3 som sikkerhet, og angriperen lånte omtrent 82 650 WETH og 821 wstETH – rene, likvide eiendeler – før noen rakk å fryse posisjonene . Lignende sikkerhetsstilt låneopptak skjedde på Compound og Euler, og hentet ut omtrent 74 000 rene ETH totalt .
Så begynte hvitvaskingen for alvor.
I løpet av de neste seks ukene hvitvasket angriperen nesten alle de ufrosne stjålne midlene – omtrent 220 millioner dollar – og etterlot bare omtrent 1,7 millioner dollar sporbart i de opprinnelige angriperlommebøkene per 1. juni 2026 . Hvitvaskingskjeden fulgte et bevisst tostegsmønster:
Trinn én: Tornado Cash ble brukt til å bryte de første lenkene på blokkjeden og tilsløre transaksjonsgrafen .
Trinn to: Midlene ble rutet gjennom Wasabi Wallet for CoinJoin-lignende Bitcoin-miksing, deretter bridged tilbake til Ethereum via krysskjedeprotokoller – primært THORChain, som behandlet omtrent 80 millioner dollar i ETH-til-Bitcoin-bytter i løpet av et 24-timers vindu, noe som presset THORChains byttevolum til 394 millioner dollar, omtrent 11 ganger dagsgjennomsnittet .
TRM Labs bekreftet senere at THORChain fungerte som den konsekvente broen som ble foretrukket på tvers av Nord-Koreas største ran, uten at noen operatører var villige til å fryse eller avvise overføringer verken under Bybit-innbruddet i 2025 eller KelpDAO-angrepet .
NS3.AI flagget også en ny detalj: angriperne brukte LayerZero selv til å flytte minst 500 000 dollar av de stjålne midlene på tvers av blokkjeder under hvitvaskingsfasen – den første registrerte forekomsten der den samme applikasjonen ble utnyttet til både tyveriet og deler av hvitvaskingen .
Arbitrum Security Council fryser 71 millioner dollar
Ikke alle midlene slapp unna. Den 20. april 2026, klokken 23:26 ET (østamerikansk tid), utførte Arbitrum Security Council en nødhandling for å fryse 30 766 ETH – omtrent 71 millioner dollar, eller omtrent en fjerdedel av det totale stjålne beløpet – som befant seg i en angriperkontrollert adresse på Arbitrum One .
Rådet handlet med innspill fra politimyndigheter og flyttet midlene til en styringskontrollert mellomlommebok. Ni av tolv rådsmedlemmer stemte for frysing . Midlene kan bare frigis gjennom en formell avstemning i Arbitrum-styringen .
Den 8. mai 2026 godkjente Arbitrum Security Council et felles forslag om å frigi disse midlene, med mål om å akselerere gjenopprettingen av rsETH-sikkerhet og gjenopprette likviditet for berørte brukere. Gjenopprettingsprosessen pågår fortsatt med involvering av politimyndigheter .
Aaves oppvåkning på 230 millioner dollar og overhalingen av risikorammeverket
Aave absorberte den mest alvorlige annenhåndsskaden. Angriperen deponerte 89 567 falske rsETH i Aave V3 og lånte omtrent 230 millioner dollar i rene eiendeler – lån som ble uopprettelig tapsbringende gjeld da rsETH ble avslørt som udekket .
Aaves Protocol Guardian frøs rsETH- og wrsETH-reservene på tvers av alle V3-distribusjoner cirka klokken 19:00 UTC den 18. april, og satte belåningsgraden til null på tvers av 11 berørte markeder, inkludert Ethereum, Arbitrum, Avalanche og Optimism . WETH-utlån – en kjernedel av DeFis finansielle infrastruktur – ble effektivt fryst på seks nettverk.
I midten av mai 2026 var over 95 prosent av de udekkede tokenene gjenvunnet, og det gjenværende underskuddet forventes dekket av Aave DAO-treasury og DeFi United-koalisjonen . Aave gjenopprettet normale WETH-lånegrenser på tvers av seks V3-nettverk den 18. mai 2026 .
Men den virkelige arven er styringsresponsen. På Consensus Miami 2026 kunngjorde Linda Jeng, juridisk- og policydirektør i Aave Labs, en grunnleggende overhaling av protokollens standarder for aktivaoppføring og sikkerhetsvurdering . Det nye rammeverket utvides utover tradisjonelle finansielle risikomålinger til å inkludere:
Cybersikkerhetssårbarheter og operasjonell sikkerhetsstilling
Avhengigheter til broinfrastruktur og risikoer knyttet til enkeltverifikatorer
Oracle-avhengigheter og eksponering mot tredjepartskontrakter
Depotordninger og interoperabilitetsrisiko på tvers av komponerbare protokoller
Aave har allerede justert 295 risikoparametere og lagt til automatiserte forsvar som kan redusere en eiendels belåningsgrad til null når forhåndsdefinerte risikoterskler utløses . Protokollen lanserer en full gjennomgang av hver eiendel oppført på V3 og omskriver oppføringsstandardene sine fra grunnen av .
Det større bildet: broer er nå DeFis primære angrepsflate
Kelp DAO skjedde ikke isolert. Det var det andre ni-sifrede broangrepet på 18 dager, etter Drift Protocols sosialmanipulerte innbrudd på 285 millioner dollar den 1. april – også tilskrevet Lazarus-gruppen . Til sammen presset disse to hendelsene DeFi-tapene tidlig i 2026 forbi 840 millioner dollar .
De systemiske ringvirkningene overskygget det direkte tyveriet. Innen 48 timer etter Kelp DAO-angrepet forsvant 13,21 milliarder dollar i total verdi låst over hele DeFi, der Aave alene tapte 43 prosent av sin TVL på tvers av 26 sporede protokoller . En uttakspanikk på 5,4 milliarder dollar feide gjennom økosystemet .
Angrepet avslørte det Chainalysis kalte en kritisk strukturell blindsone: DeFi-sikkerhet hadde fokusert overveldende på revisjon av smartkontrakter, mens broinfrastruktur, operasjonell nodesikkerhet og konfigurasjoner med enkeltverifikatorer forble i stor grad uutforskede risikovektorer .
Reparasjonen er allerede i gang. Protokoller migrerer til brokonfigurasjoner med flere verifikatorer. Aaves nye oppføringshåndbok – forventet publisert som et formelt retningslinjedokument for aktivautstedere – vil kreve at prosjekter avslører broarkitektur, verifikatordesentralisering og nodesikkerhetspraksis før rsETH-lignende derivater kan tas opp som sikkerhet .
Lazarus utnyttet et gap mellom hva DeFi reviderte og hva DeFi faktisk var avhengig av. Bransjens respons antyder at dette gapet endelig er i ferd med å lukkes – men bare etter en leksjon til 293 millioner dollar.
Comments
0 comments