Im bislang größten Cross-Chain-Bridge-Hack des Jahres 2026 erbeuteten nordkoreanische Staatshacker rund 292 Millionen US-Dollar aus der KelpDAO-Bridge – und kamen einem zweiten Angriff in einem Abstand von wenigen Minuten gefährlich nahe.
Nordkoreas Lazarus-Gruppe verantwortlich für 292-Millionen-Dollar-Angriff auf KelpDAO-Bridge
Das Blockchain-Protokoll LayerZero hat den bislang größten Cross-Chain-Bridge-Hack des Jahres 2026 der nordkoreanischen Lazarus-Gruppe zugeschrieben. Angreifer erbeuteten dabei rund 292 Millionen US-Dollar aus der KelpDAO-Bridge – und kamen einem zweiten Angriff auf dieselbe Infrastruktur in wenigen Minuten gefährlich nahe.
Gefälschte Cross-Chain-Nachrichten als Angriffsvehikel
Nach Angaben von LayerZero gelang der Einbruch durch das Fälschen sogenannter Cross-Chain-Messages – Nachrichten, die im Normalfall Transaktionen zwischen verschiedenen Blockchain-Netzwerken koordinieren. Die Angreifer manipulierten diesen Mechanismus so, dass die Bridge-Infrastruktur von KelpDAO unautorisierte Überweisungen als legitim einstufte und ausführte.
Dieser Angriffsvektor ist technisch anspruchsvoll und erfordert tiefgreifende Kenntnisse der jeweiligen Protokollarchitektur.
Das DeFi-Protokoll KelpDAO ist im sogenannten Liquid-Restaking-Segment aktiv und verwaltet Nutzermittel, die ursprünglich über das Lending-Protokoll Aave eingesetzt wurden. Die Verbindung mehrerer Protokollschichten erhöhte in diesem Fall die Angriffsfläche erheblich.
Zweiter Angriff in letzter Minute verhindert
Besonders bemerkenswert: Laut LayerZero waren die Angreifer offenbar bereits dabei, einen zweiten Abzug vorzubereiten, als der Angriff entdeckt und gestoppt wurde. Die Zeitspanne zwischen erstem Angriff und beinahe erfolgtem Folgeangriff soll nur wenige Minuten betragen haben. Weder KelpDAO noch LayerZero haben bislang technische Details darüber veröffentlicht, wie genau der zweite Angriff vereitelt wurde.
Nach dem Einbruch verwischten die Täter systematisch ihre Spuren – ein Vorgehen, das Sicherheitsforscher wiederholt bei staatlich gesteuerten nordkoreanischen Hackergruppen beobachtet haben.
Die Lazarus-Gruppe steht bereits hinter mehreren der größten Kryptowährungs-Diebstähle der vergangenen Jahre – darunter der Ronin-Bridge-Hack 2022 mit einem Schaden von rund 625 Millionen Dollar.
Staatlich organisierte Cyberkriminalität als systemisches Risiko
Die Zuschreibung an die Lazarus-Gruppe durch LayerZero basiert nach eigenen Angaben auf Blockchain-Forensik sowie Mustern in der Transaktionsstruktur und den verwendeten Wallet-Adressen. Eine unabhängige Bestätigung durch staatliche Behörden oder spezialisierte Sicherheitsfirmen stand zum Zeitpunkt der Berichterstattung noch aus.
Nordkoreanische Hackergruppen gelten laut Einschätzungen des US-Finanzministeriums und der Vereinten Nationen als wesentliche Einnahmequelle für das sanktionierte Regime in Pjöngjang. Schätzungen zufolge haben mit dem nordkoreanischen Staat verbundene Akteure in den vergangenen Jahren Kryptowerte im Wert von mehreren Milliarden Dollar abgezogen, die mutmaßlich zur Finanzierung von Rüstungsprogrammen verwendet werden.
Einordnung für deutsche Unternehmen
Für Unternehmen hierzulande, die DeFi-Protokolle oder tokenisierte Assets in ihre Finanzprozesse oder Treasury-Strategien integrieren, unterstreicht dieser Vorfall ein strukturelles Risikoprofil:
Bridge-Protokolle gelten als besonders exponierte Komponenten im Blockchain-Ökosystem, da sie als Schnittstellen zwischen unterschiedlichen Netzwerken hohe Liquiditätskonzentrationen aufweisen.
Compliance- und Risikoteams sollten bei der Due Diligence von DeFi-Infrastrukturen explizit prüfen:
- Welche Sicherheitsaudits für Bridge-Komponenten vorliegen
- Ob Notfallmechanismen gegen unautorisierte Cross-Chain-Transaktionen implementiert sind
- Wie die Protokollarchitektur bei mehrschichtiger Integration abgesichert ist
Die zunehmende Professionalisierung staatlich gesteuerter Angreifergruppen macht technische Sorgfaltspflichten in diesem Bereich zu einem geschäftskritischen Thema.
Quelle: Decrypt AI