Nordkoreas Lazarus-Gruppe soll die Liquid-Restaking-Plattform KelpDAO mit KI-gestützten Angriffsmethoden kompromittiert und dabei rund 292 Millionen US-Dollar erbeutet haben – ein Vorfall, der den gesamten DeFi-Sektor erschüttert und grundlegende Sicherheitsfragen aufwirft.
Lazarus-Gruppe soll hinter 292-Millionen-Dollar-Angriff auf KelpDAO stecken
Nordkoreas staatlich unterstützte Hackergruppe Lazarus steht offenbar hinter einem der größten DeFi-Angriffe des Jahres. Beim Exploit der Liquid-Restaking-Plattform KelpDAO wurden umgerechnet rund 292 Millionen US-Dollar erbeutet – mit mutmaßlicher Unterstützung durch KI-gestützte Angriffsmethoden.
Massiver Abfluss aus dem DeFi-Sektor
Der Angriff auf KelpDAO hat im dezentralen Finanzsektor erhebliche Spuren hinterlassen. Das gesamte Total Value Locked (TVL) im DeFi-Ökosystem fiel infolge des Exploits um rund 13 Milliarden US-Dollar.
KelpDAO ist eine Plattform, die sogenanntes Liquid Restaking ermöglicht – ein Mechanismus, bei dem Nutzer gestakte Krypto-Assets erneut einsetzen können, um zusätzliche Renditen zu erzielen. Genau diese komplexe Architektur wurde offenbar zur Angriffsfläche.
KI als Werkzeug staatlicher Angreifer
Besondere Aufmerksamkeit erregt die Art des Angriffs. Guillermo Rauch, CEO der Entwicklerplattform Vercel, machte öffentlich darauf aufmerksam:
„Hochgradig sophistizierte Akteure haben KI-Werkzeuge eingesetzt, um den Exploit zu entwickeln und durchzuführen.”
Konkrete technische Details zum KI-Einsatz bleiben bislang unvollständig dokumentiert, doch der Hinweis fügt sich in ein breiteres Bild: Angreifer nutzen zunehmend Large Language Models und automatisierte Codeanalyse-Tools, um Schwachstellen in Smart Contracts schneller zu identifizieren und auszunutzen, als menschliche Sicherheitsteams reagieren können.
Die Lazarus-Gruppe ist dem US-amerikanischen Finanzministerium und mehreren internationalen Strafverfolgungsbehörden seit Jahren als Instrument der nordkoreanischen Staatsfinanzierung bekannt. Einnahmen aus Krypto-Hacks sollen dem Regime zur Umgehung internationaler Sanktionen dienen.
Der Bybit-Hack Anfang 2025, bei dem rund 1,5 Milliarden US-Dollar gestohlen wurden, gilt ebenfalls als Lazarus-Operation.
Smart-Contract-Sicherheit unter Druck
Der Vorfall verschärft die Debatte über strukturelle Sicherheitsprobleme im DeFi-Sektor. Trotz regelmäßiger Audits durch spezialisierte Firmen gelingt es Angreifern immer wieder, Lücken in komplexen Protokollarchitekturen zu finden.
Liquid-Restaking-Protokolle gelten dabei als besonders exponiert, da sie mehrere Abhängigkeiten zu anderen Protokollen aufweisen und damit eine vergrößerte Angriffsfläche bieten. Protokolle wie Aave reagierten nach dem Vorfall mit verschärften Risikoparametern und vorübergehenden Anpassungen ihrer Liquiditätsrichtlinien, um potenzielle Ansteckungseffekte zu begrenzen.
Einordnung für deutsche Unternehmen
Für deutsche Unternehmen, die DeFi-Infrastruktur entweder selbst nutzen oder als Technologiebasis evaluieren, liefert der KelpDAO-Vorfall mehrere konkrete Lernpunkte:
- Steigende KI-Bedrohungslage: Klassische Audit-Zyklen reichen möglicherweise nicht mehr aus, wenn Angreifer KI-gestützt operieren.
- Systemische Vertrauensverluste: Der Abfluss von 13 Milliarden Dollar TVL zeigt, wie schnell Vertrauen im DeFi-Ökosystem erodieren kann.
- Konzentrationsrisiken: Unternehmen, die Krypto-Assets oder tokenisierte Werte in solchen Protokollen halten, sollten Exit-Szenarien explizit in ihre Risikomodelle aufnehmen.
Die Frage, ob staatlich gesponserte Angreifer mit KI-Unterstützung bald auch klassische Finanzinfrastruktur in vergleichbarer Geschwindigkeit angreifen können, dürfte die Sicherheitsagenden vieler CISOs in den kommenden Monaten prägen.
Quelle: Decrypt AI