DeFi erlebte im April seinen schlimmsten Monat seit über einem Jahr: Angreifer schöpften bei 28 separaten Vorfällen 635 Millionen Dollar ab, wie von Blockchain-Sicherheitsfirmen zusammengestellte Daten zeigen. Die Gesamtsumme erhöht die kumulativen historischen Verluste auf 16,5 Milliarden Dollar, wovon 7,7 Milliarden Dollar speziell auf DeFi entfallen. Das folgenschwerste Einzelereignis des Monats – der rsETH-Brückenangriff – hinterließ bei Aave 200 Millionen Dollar an faulen Krediten und entfachte eine Debatte darüber, wie die Branche Geschwindigkeit über Sicherheit stellt.
Der rsETH-Angriff: eine Ein-von-Eins-Konfiguration, die jahrelang bestand
Der Angriff auf die rsETH-Brücke von KelpDAO nutzte eine 1-aus-1-Konfiguration des dezentralen Verifizierernetzwerks (DVN) – eine Einstellung, bei der nur ein einziger Validator erforderlich war, um eine Nachricht zu genehmigen. Die Angreifer kompromittierten die RPC-Infrastruktur, erzwangen durch DDoS einen Failover auf vergiftete Knoten und injizierten falsche Daten in dieses einzelne DVN. Die gefälschte Nachricht setzte rund 116.500 rsETH frei, die anschließend als Sicherheit auf Aave hinterlegt wurden.
Der Vorfallbericht von Aave bestätigte, dass die Ethereum-Chain die Nonce 308 aus dem Angriff akzeptierte, während der Unichain-Quellendpunkt nie über 307 hinausging – eine Diskrepanz, die durch bessere Überwachung hätte erkannt werden müssen. KelpDAO gibt an, dass die 1-aus-1-DVN die Standardeinstellung war, die LayerZero selbst ausgeliefert hat. LayerZero entgegnet, dass KelpDAO auf diese Einstellung herabgestuft habe. Unabhängig davon hat LayerZero die 1-aus-1-DVN-Konfiguration inzwischen protokollweit verboten.
Schuld, Verantwortung und die Lazarus-Verbindung
Chainalysis brachte den Angriff vorläufig mit der nordkoreanischen Lazarus-Gruppe in Verbindung, die Zuordnung läuft jedoch noch. Für die Branche geht es weniger darum, wer es getan hat, sondern vielmehr darum, wie es passieren konnte. „DeFi hat historisch gesehen Wachstum, Integrationen, Liquidität und Geschwindigkeit über Sicherheitsreife belohnt“, sagte Mitchell Amador, CEO von Immunefi. Er wies auf vernachlässigte Praktiken wie Multisig-Hygiene, Lieferkettenhärtung, Echtzeit-Überwachung und Notfallverfahren hin, die viele Protokolle immer noch auslassen.
Ben Nadareski, CEO von Solstice Finance, drückte es deutlich aus: „Gewinnerteams werden von Anfang an auf Compliance und Sicherheit aufgebaut sein.“ Und Euler Finance CTO Kasper Pawlowski merkte an, dass Risikobewertung in DeFi oft als einmalige Checkliste behandelt werde, aber „Risiko ist dynamisch.“
11 Milliarden Dollar an TVL in einem einzigen Monat vernichtet
Über den rsETH-Vorfall hinaus verlor DeFi im letzten Monat aufgrund hochkarätiger Exploits bei Drift und der KelpDAO-Brücke fast 11 Milliarden Dollar an gesperrtem Gesamtwert (TVL). Die Zahlen unterstreichen einen Trend, vor dem Sicherheitsforscher seit langem warnen: Während Protokolle nach Integrationen und Liquidität streben, wächst die Angriffsfläche schneller, als die Abwehrkräfte Schritt halten können. Die April-Bilanz ist der höchste monatliche Verlust seit Anfang 2024.
Die Frage ist nun, ob die Branche Sicherheit endlich als kontinuierlichen Prozess behandeln wird und nicht als Checkliste für den Starttag – oder ob sie auf ein weiteres 200-Millionen-Loch warten wird.
