### Lazarus-Gruppe mutmaßlich hinter KelpDAO-Exploit Staatlich unterstützte nordkoreanische Hacker stecken wahrscheinlich hinter dem Krypto-Heist im Wert von 290 Millionen US-Dollar, der das DeFi-Projekt **KelpDAO** am Samstag traf. Der Angriff beeinträchtigte Berichten zufolge auch die Kreditprotokolle **Compound**, **Euler** und **Aave**, wobei letzteres neue Einlagen oder Kredite unter Verwendung von rsETH als Sicherheit einfrierte und blockierte. **KelpDAO** ist ein dezentrales Finanzprojekt (DeFi), das auf Liquid Restaking im Ethereum-Netzwerk basiert. Es akzeptiert ETH-Einlagen von Nutzern, setzt diese erneut ein und gibt einen Liquid-Token namens 'rsETH' zurück, der die Restaking-Position repräsentiert. Der rsETH-Token soll Nutzern helfen, weiterhin Erträge aus dem Restaking zu erzielen, während er in DeFi nutzbar bleibt, auch Cross-Chain über **LayerZero**, ein Inter-Blockchain-Kommunikationsprotokoll und Interoperabilitätsschicht. Am 18. April gab **KelpDAO** bekannt, dass es "verdächtige Cross-Chain-Aktivitäten" mit rsETH festgestellt habe, was das Projekt zwang, rsETH-Verträge auf dem Ethereum-Mainnet und L2s zu pausieren. Das Projekt startete eine Untersuchung mit Hilfe von **LayerZero**, **Unichain** und anderen Partnern. Die Blockchain-Aktivität zeigte, dass rund 293 Millionen US-Dollar über **Tornado Cash** transferiert wurden, um die Spur zu verwischen. ### Angriffsdetails: Kompromittierte Verifizierungsschicht Laut zusätzlichen Details, die **LayerZero** teilte, zielte der Angriff auf die Verifizierungsschicht (DVN) ab, die zur Validierung von Cross-Chain-Nachrichten für rsETH verwendet wurde. Konkret kompromittierten die Angreifer einige RPC-Knoten, die vom Verifier verwendet wurden, und fütterten ihn mit gefälschten Blockchain-Daten, während sie gleichzeitig gesunde RPC-Knoten per DDoS angriffen, um das System zu zwingen, sich auf die "vergifteten" Knoten zu verlassen. Dies ermöglichte die Akzeptanz einer gefälschten Cross-Chain-Nachricht als gültig. Das System bestätigte Transaktionen, die tatsächlich nie auf der Kette stattfanden, und ermöglichte die unbefugte Übertragung von rsETH. Basierend auf der vorläufigen Bewertung der Angriffsindikatoren glaubt **LayerZero**, dass die berüchtigte **Lazarus Group** wahrscheinlich für den Heist verantwortlich ist. "Vorläufige Indikatoren deuten auf eine Zuschreibung an einen hoch entwickelten staatlichen Akteur hin, wahrscheinlich die **Lazarus Group** der DVRK, genauer gesagt TraderTraitor", heißt es in der Erklärung. Das Protokoll stellte außerdem fest, dass der Vorfall auf rsETH beschränkt war und es keine breitere Ansteckung auf andere Apps oder Vermögenswerte gab. ### Lazarus-Gruppe erweitert Portfolio Während der **KelpDAO**-Einbruch bisher einen erheblichen Verlust in Bezug auf die gestohlene Summe darstellt, wurde die **Lazarus Group** auch mit einem weiteren großen Diebstahl in Verbindung gebracht: 280 Millionen US-Dollar aus dem **Drift Protocol**. Laut einem Post-Mortem-Bericht war dieser Angriff das Ergebnis einer sechsmonatigen, sorgfältig geplanten Operation, bei der bösartige Agenten Konferenzen besuchten und 1 Million US-Dollar in das Projekt einzahlten.  ## 99% dessen, was Mythos gefunden hat, ist immer noch ungepatcht. KI hat vier 0-days zu einem Exploit verkettet, der sowohl Renderer- als auch OS-Sandboxes umging. Eine Welle neuer Exploits steht bevor. Auf dem Autonomous Validation Summit (12. und 14. Mai) erfahren Sie, wie autonome, kontextreiche Validierung ausnutzbare Schwachstellen findet, die Wirksamkeit von Kontrollen beweist und den Behebungszyklus schließt. [Platz sichern](https://hubs.li/Q04crVgD0)