Das teuerste Blame Game der DeFi-Geschichte 2026 begann am 20. April. LayerZero veröffentlichte das offizielle Post-Mortem zum 292-Millionen-Dollar-Hack bei Kelp DAO — mit schwerwiegender Zuschreibung: Lazarus Group, genauer das Untergruppe TraderTraitor — dieselbe nordkoreanische Cybereinheit, die 2025 den 1,4-Milliarden-Dollar-Exploit bei Bybit durchgeführt hat. Im Dokument schiebt LayerZero die technische Verantwortung jedoch auf Kelp ab. Wenige Stunden später dreht Kelp den Spieß um.
LayerZero
Lazarus greift zweimal innerhalb von 18 Tagen an
Die Gesamtbilanz ist brutal. Drift Protocol auf Solana, 1. April: 285 Millionen Dollar. Kelp DAO auf Ethereum, 18. April: 292 Millionen Dollar. Summe: über 575 Millionen Dollar, die dieselbe nordkoreanische Einheit in weniger als drei Wochen über völlig unterschiedliche Angriffsvektoren abgezogen hat.
- Drift: Social Engineering gegen die Multisig-Unterzeichner des Security Council, mit eigens fabriziertem CVT-Token
- Kelp: Kompromittierung zweier RPC-Nodes von LayerZero kombiniert mit DDoS auf die Backup-Systeme, um ein Failover zu erzwingen
- TraderTraitor bestätigt sich laut Elliptic als gefährlichste Bedrohung für DeFi im Jahr 2026 — mit 18 zugeschriebenen Angriffen seit Jahresbeginn
Eine vollständige Rekonstruktion des Drift-Falls findet sich in unserem Hintergrundbericht zur schwarzen Woche der Kryptomärkte.
LayerZero gegen Kelp: Wer hat wirklich versagt?
Der Kern des Streits ist die 1/1-DVN-Konfiguration — ein einziger Verifier autorisiert Cross-Chain-Nachrichten, ohne jede Redundanz. LayerZero behauptet, Kelp wiederholt ein Multi-DVN-Setup empfohlen zu haben. Kelp entgegnet, dieses 1/1-Setup sei das Standard-GitHub-Template von LayerZero gewesen — genutzt von 40 % der Protokolle auf der Infrastruktur.
Preliminary indicators suggest attribution to Lazarus Group, more specifically TraderTraitor — LayerZero
We're fully aware of the rsETH exploit and have been in active remediation with the @KelpDAO team since the incident and continue to monitor. All other applications remain safe.
— LayerZero (@LayerZero_Core) April 19, 2026
We are still identifying the root cause alongside @_SEAL_Org and others. We will publish a complete…
Zach Rynes, Community-Liaison von Chainlink, war der Erste, der auf X reagierte: LayerZero weiche der Verantwortung für seine eigene kompromittierte DVN-Infrastruktur aus. Diese Position wurde technisch von banteg von Yearn Finance bestätigt, der das öffentliche Deployment von LayerZero geprüft hatte: Die Referenzkonfiguration wird standardmäßig mit Single-Source-Verifizierung auf Ethereum, BSC, Polygon, Arbitrum und Optimism ausgeliefert.
47 % der LayerZero-Apps bleiben anfällig
Die heute veröffentlichten Zahlen von Dune Analytics sind die eigentliche Nachricht hinter der Nachricht. Von 2.665 analysierten aktiven OApps der letzten 90 Tage operiert 47 % mit einem Security-Floor von 1-von-1. LayerZero hat angekündigt, die Nachrichtensignierung für alle Apps mit 1/1-Konfiguration einzustellen: eine erzwungene Migration für hunderte Projekte in den kommenden Wochen.
- DeFi-TVL: innerhalb von 48 Stunden von 99,5 auf 86,3 Milliarden eingebrochen (−13,2 Mrd. USD)
- Aave: 8,45 Milliarden USD an abgezogenen Einlagen, ETH/USDT/USDC-Märkte bei 100 % Auslastung
- Betroffene Token: AAVE −22 %, ZRO −22 %, LDO −19 %, ENA −13 %, COMP −10 %
Die Frage, die sich das gesamte Ökosystem stellt
Wenn 47 % der LayerZero-Bridges noch immer mit derselben fragilen Konfiguration laufen — wie viele weitere 292-Millionen-Vorfälle braucht es, bevor die Cross-Chain-DeFi ihre Single Points of Failure ernsthaft überdenkt? Composability ist der größte Vorteil der DeFi, doch wenn ein einzelnes Glied versagt — RPC, DVN, Multisig — wird jedes verbundene Protokoll zum Dominostein. Um zu verstehen, wie Sie sich in diesem Szenario schützen können, ist unser Web3-Leitfaden der richtige Ausgangspunkt.
