Weniger als drei Wochen nachdem nordkoreanisch verbundene Hacker Social Engineering nutzten, um die Krypto-Handelsfirma Drift anzugreifen, scheinen mit der Nation verbundene Hacker einen weiteren großen Exploit mit Kelp durchgeführt zu haben.
Der Angriff auf Kelp, ein Restaking-Protokoll, das in LayerZeros Cross-Chain-Infrastruktur eingebunden ist, deutet auf eine Weiterentwicklung der Arbeitsweise nordkoreanisch verbundener Hacker hin, die nicht nur nach Fehlern oder gestohlenen Zugangsdaten suchen, sondern die grundlegenden Annahmen ausnutzen, die in dezentralisierte Systeme eingebaut sind.
Zusammengenommen deuten die beiden Vorfälle auf etwas Organisierteres hin als eine Reihe von einmaligen Hacks, da Nordkorea seine Bemühungen, Gelder aus dem Kryptosektor zu kapern, weiter eskaliert.
„Dies ist keine Reihe von Vorfällen; es ist eine Kadenz", sagte Alexander Urbelis, Chief Information Security Officer und General Counsel bei ENS Labs. „Man kann sich nicht aus einem Beschaffungsplan herauspatchen."
Mehr als 500 Millionen US-Dollar wurden in etwas mehr als zwei Wochen über die Drift- und Kelp-Exploits abgeschöpft.
Wie Kelp gehackt wurde
Im Kern beinhaltete der Kelp-Exploit nicht das Brechen von Verschlüsselung oder das Knacken von Schlüsseln. Das System funktionierte tatsächlich so, wie es entworfen wurde. Stattdessen manipulierten die Angreifer die Daten, die in das System eingespeist wurden, und zwangen es, sich auf diese kompromittierten Eingaben zu verlassen, was dazu führte, dass es Transaktionen genehmigte, die nie tatsächlich stattgefunden haben.
„Der Sicherheitsfehler ist einfach: Eine signierte Lüge ist immer noch eine Lüge", sagte Urbelis. „Signaturen garantieren Urheberschaft; sie garantieren nicht die Wahrheit."
Einfacher ausgedrückt: Das System überprüfte, wer die Nachricht gesendet hat, nicht ob die Nachricht selbst korrekt war. Für Sicherheitsexperten geht es dabei weniger um einen cleveren neuen Hack und mehr um die Ausnutzung der Systemkonfiguration.
„Bei diesem Angriff ging es nicht darum, Kryptographie zu brechen", sagte David Schwed, COO der Blockchain-Sicherheitsfirma SVRN. „Es ging darum, auszunutzen, wie das System eingerichtet war."
Ein zentrales Problem war eine Konfigurationsentscheidung. Kelp verließ sich auf einen einzigen Verifizierer, im Wesentlichen einen Prüfer, um Cross-Chain-Nachrichten zu genehmigen. Das liegt daran, dass es schneller und einfacher einzurichten ist, aber es entfernt eine kritische Sicherheitsebene.
LayerZero hat seitdem empfohlen, mehrere unabhängige Verifizierer zu verwenden, um Transaktionen im Nachhinein zu genehmigen, ähnlich wie bei der Anforderung mehrerer Unterschriften bei einer Banküberweisung. Einige im Ökosystem haben gegen diese Darstellung protestiert und gesagt, dass LayerZeros Standardeinstellung ein einzelner Verifizierer war.
„Wenn Sie eine Konfiguration als unsicher identifiziert haben, liefern Sie sie nicht als Option aus", sagte Schwed. „Sicherheit, die davon abhängt, dass jeder die Dokumentation liest und es richtig macht, ist nicht realistisch."
Die Folgen blieben nicht auf Kelp beschränkt. Wie bei vielen DeFi-Systemen werden seine Vermögenswerte über mehrere Plattformen hinweg verwendet, was bedeutet, dass sich Probleme ausbreiten können.
„Diese Vermögenswerte sind eine Kette von Schuldscheinen", sagte Schwed. „Und die Kette ist nur so stark wie die Kontrollen an jedem Glied."
Wenn ein Glied bricht, sind andere betroffen. In diesem Fall haben Kreditplattformen wie Aave, die die betroffenen Vermögenswerte als Sicherheiten akzeptierten, nun mit Verlusten zu kämpfen, wodurch ein einzelner Exploit zu einem breiteren Stressereignis wird.
Dezentralisierungs-Marketing
Der Angriff deckt auch eine Lücke zwischen der Vermarktung von Dezentralisierung und ihrer tatsächlichen Funktionsweise auf.
„Ein einzelner Verifizierer ist nicht dezentralisiert", sagte Schwed. „Es ist ein zentralisierter dezentralisierter Verifizierer."
Urbelis formuliert es breiter.
„Dezentralisierung ist keine Eigenschaft, die ein System hat. Es ist eine Reihe von Entscheidungen", sagte er. „Und der Stack ist nur so stark wie seine am stärksten zentralisierte Ebene."
In der Praxis bedeutet dies, dass selbst Systeme, die dezentralisiert erscheinen, Schwachstellen haben können, insbesondere in den weniger sichtbaren Ebenen wie Datenanbietern oder Infrastruktur. Dort konzentrieren sich Angreifer zunehmend.
Diese Verschiebung könnte die jüngste Zielausrichtung von Lazarus erklären.
Die Gruppe hat begonnen, sich auf Cross-Chain- und Restaking-Infrastruktur zu konzentrieren, sagte Urbelis, die Teile von Krypto, die Vermögenswerte zwischen Systemen verschieben oder deren Wiederverwendung ermöglichen.
Diese Ebenen sind kritisch, aber komplex, oft unter sichtbareren Anwendungen angesiedelt. Sie neigen auch dazu, große Wertmengen zu halten, was sie zu attraktiven Zielen macht.
Wenn frühere Wellen von Krypto-Hacks sich auf Börsen oder offensichtliche Code-Fehler konzentrierten, deutet die jüngste Aktivität auf eine Bewegung hin zu dem hin, was man die Infrastruktur der Branche nennen könnte, die Systeme, die alles miteinander verbinden, aber schwerer zu überwachen und leichter falsch zu konfigurieren sind.
Während sich Lazarus weiter anpasst, besteht das größte Risiko möglicherweise nicht in unbekannten Schwachstellen, sondern in bekannten, die nicht vollständig behoben wurden.
Der Kelp-Exploit führte keine neue Art von Schwachstelle ein. Er zeigte, wie exponiert das Ökosystem gegenüber vertrauten bleibt, insbesondere wenn Sicherheit als Empfehlung und nicht als Anforderung behandelt wird.
Und während Angreifer schneller werden, wird diese Lücke sowohl leichter auszunutzen als auch weitaus teurer zu ignorieren.
Weiterlesen: Nordkoreanische Hacker führen massive staatlich geförderte Raubzüge durch, um ihre Wirtschaft und ihr Atomprogramm zu finanzieren
Quelle: https://www.coindesk.com/tech/2026/04/20/north-korea-s-crypto-heist-playbook-is-expanding-and-defi-keeps-getting-hit
