Heute ist der 1.06.2026, und die Welt der dezentralen Finanzen, kurz DeFi, hat einen herben Dämpfer erlebt. Der teuerste DeFi-Angriff des Jahres 2026, der am 18. April stattfand, hat die Branche aufgeschreckt. Im Zentrum des schockierenden Vorfalls stand die Restake-Brücke für Ether (rsETH) von KelpDAO. Was da passiert ist, hat nicht nur für Verwirrung gesorgt, sondern auch für immense finanzielle Verluste – etwa 292 Millionen USD, um genau zu sein.
Ein einzelner Prüfer hatte eine gefälschte Cross-Chain-Nachricht genehmigt, die es dem Angreifer ermöglichte, 116.500 unbesicherte rsETH zu prägen. Diese Token wurden dann in die Wallet des Angreifers transferiert – ein beachtlicher Teil des gesamten zirkulierenden Angebots, nämlich etwa 18 %. Aave, die Plattform, auf der die gestohlenen Token eingelöst wurden, konnte die Kredite nicht zurückerhalten, da das rsETH wertlos war. Der Angriff offengelegte eine neue Risikoklasse im DeFi-Bereich. Die LayerZero-Bridge, die als Cross-Chain-Verbindung fungiert, hat dabei eine zentrale Rolle gespielt. Sie gab zu, dass ein Verifikationsversagen die Ursache für das Desaster war.
Ein Blick auf die Folgen
Die Reaktionen auf den Angriff ließen nicht lange auf sich warten. Aave hat umgehend eine Überprüfung aller auf V3 gelisteten Vermögenswerte eingeleitet und seine Listungsstandards überarbeitet. Die Plattform hat seit dem Vorfall etwa 295 Parameteränderungen in den V3-Märkten vorgenommen, darunter 168 Reduzierungen der Angebotsobergrenze und 66 der Kreditobergrenze. Aave fordert eine umfassendere Überarbeitung des Risikomanagements im DeFi-Bereich, was durchaus notwendig scheint, denn traditionelle Bewertungen erfassen die Risiken von Bridges und Verifizierungsnetzwerken nicht ausreichend.
Ein weiteres bemerkenswertes Detail: Die Brücke hatte Reserven, die das Token über mehr als 20 Blockchains absicherten. Nach dem Diebstahl kämpften hunderte Millionen rsETH auf verschiedenen Layer-2-Netzwerken ohne Deckung. Das hat nicht nur das Vertrauen in Cross-Chain-Assets erschüttert, sondern auch den gesamten DeFi-Gesamtwert (TVL), der in den 48 Stunden nach dem Vorfall um über 13 Milliarden USD fiel. Schnell wurde klar, dass Smart-Contract-Audits allein nicht ausreichen, um die Sicherheit von Cross-Chain-Protokollen zu gewährleisten.
Die Lehren aus dem Vorfall
Die Attacke hat die enge Verknüpfung zwischen DeFi-Kreditmärkten und Cross-Chain-Assets auf schmerzhafte Weise verdeutlicht. LayerZero hat angekündigt, keine Nachrichten mehr für Anwendungen mit einer 1-von-1-Konfiguration zu signieren, um solche Vorfälle in Zukunft zu verhindern. Der Angreifer, der mit der nordkoreanischen Lazarus-Gruppe in Verbindung gebracht wurde, konnte sich nicht nur Token aneignen, sondern auch über 190 Millionen USD in echtem ETH leihen, indem er die gestohlenen Token als Sicherheiten hinterlegte.
Die KelpDAO-Attacke hat nicht nur für Aufregung gesorgt, sie zeigt auch, wie verletzlich das DeFi-Ökosystem ist. KelpDAO selbst hatte 46 Minuten nach dem Diebstahl einen Notfallstopp aktiviert, was schlimmstenfalls noch größere Schäden hätte abwenden können. Zwei weitere Versuche des Angreifers, zusätzliche 40.000 rsETH zu stehlen, wurden rechtzeitig verhindert.
Die Empfehlungen zur Verbesserung der Sicherheit sind klar: Multi-DVN-Konsens, ZK-Light-Clients, kontinuierliches Cross-Chain-Monitoring und die Nutzung von kanonischen Brücken für hochpreisige Transfers sollen künftig helfen, die Risiken besser zu managen. Es bleibt abzuwarten, wie die DeFi-Community auf diesen Vorfall reagiert und ob die notwendigen Maßnahmen ergriffen werden, um solche Angriffe in der Zukunft zu vermeiden.