Open-Source-AI-Tool warnte 12 Tage zuvor vor 292-Millionen-Dollar-Schwachstelle in Kelp DAO

BroadChain BroadChain erfuhr, dass am 20. April um 12:16 Uhr nach TechFlow-Berichten am 18. April Kelp DAO aufgrund eines Konfigurationsfehlers in der LayerZero-Cross-Chain-Bridge gestohlen wurde, mit einem Verlust von 292 Millionen US-Dollar, was es zum größten DeFi-Sicherheitsvorfall im Jahr 2026 macht. Die Ursache des Fehlers liegt darin, dass seine OFT-Bridge eine 1-von-1-DVN-Validierungsknotenkonfiguration verwendet, bei der Angreifer nur einen einzelnen Knoten kompromittieren müssen, um Cross-Chain-Nachrichten zu fälschen und auf dem Ethereum-Mainnet 116.500 rsETH aus dem Nichts zu prägen. Bereits am 6. April hatte ein Open-Source-AI-Audit-Bericht dieses Risiko deutlich markiert und darauf hingewiesen, dass seine DVN-Konfiguration intransparent ist, einen Single Point of Failure aufweist und das Angriffsmuster stark den historischen Bridge-Angriffen auf Ronin und Harmony ähnelt. Der Bericht erhielt eine Gesamtbewertung von 72/100 (mittleres Risiko), räumte jedoch ein, dass die Bewertung zu nachsichtig war und das Cross-Chain-Bridge-Risiko nicht auf die Stufe "hohes Risiko" angehoben wurde. Nach dem Angriff wurde das gestohlene rsETH als Sicherheit in Protokollen wie Aave und Compound verwendet, um etwa 236 Millionen US-Dollar WETH zu leihen, was zu etwa 177 Millionen US-Dollar faulen Krediten in Aave V3 führte und rsETH-Inhaber auf mehreren Chains sowie unabhängige Einleger betraf. Dieser Vorfall hat systemische Mängel in der Cross-Chain-Architekturkonfiguration, Governance-Blindstellen und Risikobewertung von DeFi-Protokollen offengelegt.