Nach dem KelpDAO-rsETH-Exploit vom 19. April mit einem Schaden von 292 Millionen USD reagierten viele Protokolle auf Sicherheitsebene. BitGo, Polygon und Katana haben schnell Maßnahmen ergriffen, um eine mögliche Ausbreitung zu verhindern.
Bei dem Angriff wurden 116.500 rsETH aus der LayerZero-basierten Cross-Chain-Bridge von KelpDAO mithilfe einer gefälschten Nachricht abgezogen, die die Konfiguration des dezentralen Verifizierer-Netzwerks (DVN) umging.
Protokolle: Maßnahmen zur Eindämmung der Folgen
BitGo und BiT Global Trust haben vorsorglich die LayerZero-OFT-DVNs für Wrapped Bitcoin (WBTC) deaktiviert. Das Unternehmen bestätigte, dass die Gelder der Nutzer sicher sind, und versprach, weitere Informationen zu veröffentlichen, sobald diese vorliegen.
Polygon teilte mit, dass weder die eigene Blockchain noch Agglayer oder das gesamte Ökosystem von dem Vorfall betroffen sind. Das Netzwerk wies darauf hin, dass bisher bereits Transaktionen im Wert von über 2 Billionen USD sicher abgewickelt wurden.
Katana pausierte den OFT-Pfad auf Vaultbridge, der auf einer 2/3-DVN-Struktur basierte. Das Bridging über Agglayer, das mit Zero-Knowledge-Proofs anstelle von Proof-of-Authority-Multisigs arbeitet, war weiterhin uneingeschränkt verfügbar.
Inzwischen gab Meir Dolev, CTO und Mitgründer von Cyvers, bekannt, dass KelpDAO nur drei Minuten davon entfernt war, weitere 100 Millionen USD zu verlieren. Eine schnelle Blacklist-Maßnahme blockierte den Angreifer rechtzeitig vor einem weiteren Versuch.
Branchengrößen fordern strukturelle Limits
Der Exploit führt erneut zu Forderungen nach eingebauten Limits in DeFi-Protokollen. Guy Young, Mitwirkender bei Ethena, argumentierte, dass Herausgeber von Vermögenswerten Übertragungen zwischen Blockchains zusätzlich drosseln sollten, selbst wenn sie LayerZero-OFT nutzen.
„Wir haben eine Lösung aufgebaut, die auf dem Standard-OFT aufbaut und Überweisungen zwischen Blockchains auf 10 Millionen USD pro Stunde und DVN begrenzt, zusätzlich zur 10-Millionen-USD-pro-Block-Grenze im Mint-Vertrag. Ersteres hätte Kelp verhindert, letzteres Resolv”, schrieb er.
Ethena begrenzt somit mögliche Schäden auf 10 Millionen USD pro Blockchain und Stunde, selbst wenn ein DVN vollständig kompromittiert wird. Young betonte, dass diese Einschränkung für Nutzer zwar etwas unbequem ist, aber große Verluste verhindern kann.
Keone Hon, CEO und Mitgründer von Monad, schlug vor, dass Kreditvergabepools sogenannte „Smart Caps” einführen, die das Wachstum des Sicherheitenbestands begrenzen.
Er verwies auf den Resolv-Hack im März, bei dem der Angreifer unendlich viele Token prägen konnte, jedoch nur 24 Millionen USD entnehmen konnte, weil die Ausstiegswege begrenzt waren.
Hon argumentierte, dass hohe Deckelungen des Bestands eher ein Risiko als ein Zeichen von Größe darstellen. Ein etwas höheres Limit als der aktuelle Bestand, das sich über die Stunden dem realen Maximum anpasst, hätte laut seiner Schätzung den rsETH-Haltern 200 Millionen USD erspart.
Der Vorfall bei KelpDAO ist der größte DeFi-Exploit des Jahres 2026. Ob die Protokolle die vorgeschlagenen Limits einführen, könnte die Größe des nächsten Vorfalls maßgeblich beeinflussen.
