Hacker haben eine Cross-Chain-Brücke ausgenutzt, die mit Kelp DAO verbunden ist, was zum Diebstahl von fast 300 Millionen Dollar an digitalen Vermögenswerten geführt hat – was als der größte dezentralisierte Finanzexploit des Jahres 2026 gemeldet wird.
Der Angriff zielte auf eine Brücke ab, die mit LayerZero-Technologie gebaut wurde und Übertragungen zwischen verschiedenen Blockchain-Netzwerken ermöglicht. Berichten zufolge verbrauchten die Angreifer etwa 116.500 rsETH-Token, die zum Zeitpunkt des Vorfalls etwa 292 Millionen Dollar wert waren.
Der Vorstoß ereignete sich am 18. April 2026, als die Angreifer unautorisierte Transaktionen über die Brückeninfrastruktur durchführten. Weitere Versuche, Mittel zu gewinnen, wurden identifiziert, waren jedoch erfolglos, was die Gesamtverluste begrenzte.
Kelp DAO pausierte die betroffenen Verträge kurz nach der Entdeckung der Aktivität, um weitere unautorisierte Übertragungen zu verhindern.
Cross-Chain-Brücken sind darauf ausgelegt, den Transfer von Vermögenswerten zwischen getrennten Blockchain-Ökosystemen zu erleichtern. Diese Systeme basieren auf Validierungsmechanismen, die Transaktionen über Netzwerke hinweg bestätigen. In diesem Fall bestand der Exploit darin, diese Mechanismen zu manipulieren, um Auszahlungen zu autorisieren, die nicht legitim waren.
Die gestohlenen Vermögenswerte machen einen bedeutenden Teil des Protokolls aus. Schätzungen zufolge machten die verbrauchten Mittel damals etwa 18 % des gesamten rsETH-Angebots aus.
Der Vorfall betraf mehrere dezentralisierte Finanzplattformen, die auf dieselbe Infrastruktur angewiesen sind, da Cross-Chain-Brücken oft als gemeinsame Komponenten über verschiedene Dienstleistungen dienen.
Es wurde keine bestätigte Zuschreibung bezüglich der Identität der Angreifer vorgenommen. Die Untersuchungen laufen andauernd, wobei Blockchain-Analysten die Bewegung gestohlener Gelder über verschiedene Netzwerke und Dienste hinweg verfolgen.
Cross-Chain-Brücken wurden in früheren Vorfällen wiederholt ins Visier genommen, aufgrund der großen Ressourcenpools, die sie halten, und der Komplexität ihrer Validierungssysteme. Die Sicherheitsforschung hat diese Mechanismen als häufige Schwachstellen in dezentralisierten Finanzarchitekturen identifiziert.
Die vollständigen technischen Details des Exploits wurden nicht bekannt gegeben. Kelp DAO und die zugehörigen Infrastrukturanbieter haben erklärt, dass die Analyse des Vorfalls andauert.