Am Samstag, dem 18. April, verlor eine von Kelp DAO quietly bled 116,500 rsETH betriebene Cross-Chain-Bridge leise 116.500 rsETH. Bis Montag LayerZero had a name for the attackers. Kein neuer Name.
Nordkoreas Lazarus Group ist im Krypto-Sektor längst mehr als nur ein Hacker-Label. Sie ist der deutlichste Beweis dafür, dass staatlich gestützte Cyber-Operationen digitale Vermögenswerte in einen strategischen Finanzierungskanal verwandelt haben, in dem die größten Branchenhacks immer weniger wie isolierte Bugs und immer mehr wie langfristige operative Niederlagen wirken.
- LayerZero schreibt den Kelp-DAO-Exploit vom 18. April 2026 im Wert von rund 292 Millionen Dollar in Ether (eth)-Derivat-Token der nordkoreanischen Lazarus-Gruppe und ihrer TraderTraitor-Untergruppe zu.
- Chainalysis zufolge stahlen mit der DVRK verbundene Akteure im Jahr 2025 Krypto im Wert von 2,02 Milliarden Dollar und erhöhten damit ihre kumulative Beute auf 6,75 Milliarden Dollar.
- Das Muster deutet auf staatlich gestützte operative Kriegsführung statt auf isolierte Smart-Contract-Bugs als dominierende Sicherheitsbedrohung für den Sektor hin.
Der Kelp-Hit und warum Attribution wichtig ist
LayerZero pinned den Kelp-DAO-Abfluss in seinem Post-Mortem vom 20. April einem staatlichen Akteur an. In der Erklärung wurde er als der größte DeFi-Exploit des Jahres 2026 bezeichnet und „ein hochgradig raffinierter staatlicher Akteur, wahrscheinlich die DVRK-Lazarus-Gruppe, genauer gesagt TraderTraitor“ hervorgehoben.
Der Mechanismus war kein Smart-Contract-Bug. Angreifer kompromittierten zwei Remote-Procedure-Call-Knoten, die von LayerZeros Decentralized Verifier Network genutzt wurden, und starteten anschließend eine Denial-of-Service-Flut gegen die sauberen Knoten, um ein Failover auf die vergifteten Knoten zu erzwingen.
Dadurch bestätigte Kelps sogenanntes 1-of-1-Verifier-Setup eine betrügerische Cross-Chain-Nachricht, und die Bridge schüttete 116.500 rsETH an den Angreifer aus.
Kelp paused die zentralen Verträge über sein Emergency-Multisig etwa 46 Minuten später und blockierte zwei weitere Drain-Versuche im Wert von weiteren 100 Millionen Dollar.
Kelp widersprach öffentlich der Darstellung von LayerZero und erklärte, die Konfiguration mit nur einem Verifier habe LayerZeros dokumentiertem Standard entsprochen und nicht der Missachtung expliziter Empfehlungen.
Attribution macht aus einem Patch-und-weiter-Vorfall etwas anderes. Ein Bug verlangt nach einem Fix. Ein staatlicher Akteur bedeutet einen dauerhaften Gegner.
Auch lesenswert: Why Aave Is Trending Again And What The $577M Daily Volume Means For DeFi
Wer Lazarus tatsächlich ist
Das FBI placed den TraderTraitor-Cluster in seiner Mitteilung vom 26. Februar 2025 zum Bybit-Diebstahl innerhalb des staatlichen Cyberapparats Nordkoreas und benannte ihn als direkten Betreiber eines virtuellen Vermögensraubs im Wert von 1,5 Milliarden Dollar.
Reuters-Berichte aus dem Jahr 2022 und wiederholte Sanktionen des US-Finanzministeriums tied Lazarus, Bluenoroff und Andariel mit dem Reconnaissance General Bureau in Verbindung, der primären militärischen Nachrichtendienstbehörde in Pjöngjang.
Innerhalb dieser Struktur verfolgen Analysten eine rotierende Reihe von Aliasen – APT38, Hidden Cobra, Diamond Sleet, Jade Sleet, Slow Pisces, TraderTraitor –, die häufig Personal und Infrastruktur teilen.
Die Konsequenz für Krypto ist eindeutig.
Wenn ein Einbruch „Lazarus“ zugeschrieben wird, handelt es sich nicht um einen Teenager im Keller und selten um einen einzelnen Auftragnehmer. Es ist eine staatliche Einheit mit Budget, Mandat und einem Zeithorizont, der in Jahren statt in Wochen gemessen wird.
Das verändert, was als glaubhafte Verteidigung gilt. Und es verändert, wer am Ende der Geldwäschekette letztlich profitiert.
Auch lesenswert: NSA Runs Anthropic's Mythos AI Despite Pentagon's Supply-Chain Risk Label
Von Sony zu Smart Contracts
Lazarus begann nicht im Krypto-Sektor. Die Gruppe machte sich mit dem Wiper-Angriff auf Sony Pictures 2014 bemerkbar, dann mit dem SWIFT-Raub der Bangladesh Bank 2016 und anschließend mit WannaCry im Jahr 2017.
Danach kam Krypto – und das schnell.
Der südkoreanische Geheimdienst National Intelligence Service told der Associated Press im Dezember 2022, nordkoreanische Hacker hätten in fünf Jahren schätzungsweise 1,2 Milliarden Dollar in virtuellen Vermögenswerten gestohlen.
Ein Bericht eines UN-Expertengremiums revealed 58 mutmaßliche DVRK-Cyberangriffe zwischen 2017 und 2023 im Wert von rund 3 Milliarden Dollar, die die Programme Pjöngjangs für Massenvernichtungswaffen speisen.
Die neuesten Zahlen von Chainalysis treiben diese kumulative Linie nach oben: 6,75 Milliarden Dollar identifizierte DVRK-verbundene Krypto-Diebstähle bislang, davon 2,02 Milliarden Dollar allein im Jahr 2025.
Die Entwicklung ist die eigentliche Geschichte. Jedes Jahr gibt es weniger Vorfälle, aber größere. Die Branche wurde reicher, die Ziele größer, und Lazarus ist im Gleichschritt mitgewachsen.
Also Read: Bitcoin ETF Demand Fuels $1.4B Weekly Inflow, Second-Best Since January
Die größten Lazarus-verbundenen Raubzüge
Das Finanzministerium updated seine Lazarus-Sanktionen mit Wallet-Adressen, die mit dem Ronin-Bridge-Abfluss vom März 2022 verknüpft sind, und schrieb DVRK-Akteuren Verluste von rund 625 Millionen Dollar zu.
Eine kurze Liste verdeutlicht den Umfang:
- Ronin Network, März 2022: rund 625 Millionen Dollar, die aus der Axie Infinity-Sidechain-Bridge abgezogen wurden, wenige Wochen später vom OFAC des US-Finanzministeriums Lazarus zugeschrieben.
- Harmony Horizon, Juni 2022: etwa 100 Millionen Dollar gestohlen, im Januar 2023 vom FBI offiziell Lazarus und APT38 zugeschrieben.
- WazirX, Juli 2024: rund 235 Millionen Dollar, die durch eine Multisig-Kompromittierung von der indischen Börse abgezogen wurden, weithin DVRK-verbundenen Akteuren zugeschrieben.
Dann kam das Durchbruchsjahr.
DMM Bitcoin verlor im Mai 2024 4.502,9 Bitcoin (btc) im Wert von etwa 308 Millionen Dollar. Das FBI, das Verteidigungsministerium und die japanische National Police Agency confirmed die TraderTraitor-Verbindung im Dezember und beschrieben einen auf Recruiting ausgerichteten Köder, der einen Wallet-Software-Anbieter kompromittierte und in einer manipulierten Abhebung endete.
Bybit im Februar 2025 war der Höhepunkt.
Ein Angreifer maskierte die Signieroberfläche während einer routinemäßigen Cold-Wallet-Übertragung und leitete etwa 400.000 Ether im Wert von rund 1,5 Milliarden Dollar an eine unbekannte Adresse um.
Chainalysis verortet diesen einen Vorfall nun bei 1,5 Milliarden Dollar der branchenweit 3,4 Milliarden Dollar, die 2025 gestohlen wurden. Kelp mit 292 Millionen Dollar ist das jüngste Kapitel, nicht das lauteste. So sieht eine gereifte Operation aus, die keinen Spektakel-Effekt mehr braucht.
Auch lesenswert: Strategy Buys $2.5B In Bitcoin, Its Biggest Haul In 16 Months
Das Lazarus-Playbook hat sich verändert
Das FBI und Japan detailed die neue Lazarus-Template in ihrer gemeinsamen DMM-Bitcoin-Warnung. Das alte Bild von Lazarus als Phishing-Shop ist überholt.
Ein Hacker gab sich als LinkedIn-Recruiter aus. Ein gefälschter Eignungstest vor der Einstellung platzierte ein bösartiges Python-Skript im persönlichen GitHub eines Ingenieurs bei Ginco, einem Wallet-Software-Anbieter. Gestohlene Session-Cookies öffneten Gincos internen Chat, und Wochen später wurde eine legitime DMM-Transaktionsanfrage stillschweigend im laufenden Betrieb umgeschrieben.
Bei Bybit confirmed Safe{Wallet}, dass durch Malware veränderte Signieranwendungen das korrekte Ziel anzeigten, während sie die Smart-Contract-Logik im Hintergrund veränderten. Bei Kelp, so LayerZero, tauschten Angreifer die Binaries genau auf den RPC-Knoten aus, denen ein Verifier vertraute, konstruiert, um sich nach Gebrauch selbst zu zerstören und lokale Logs zu löschen.
Der rote Faden: Der Code ist selten die eigentliche Schwachstelle. Es sind die Menschen, die Anbieter, die Build-Pipelines und die Infrastruktur-Hosts.
Chainalysis hat außerdem einen parallelen Kanal hervorgehoben: DVRK-Operative, die sich unter falschen Identitäten als Remote-IT-Mitarbeiter in Krypto-Unternehmen einnisten und dabei teilweise Kollaborateure über Upwork und Freelancer nutzen, um zu skalieren.
Auch lesenswert: Bitget Unveils Project Ulysses, Offers $3M Interest-Free Credit To 50 Institutional Clients
Warum Lazarus immer wieder zu Krypto zurückkehrt
Nordkoreas Motiv ist wirtschaftliches Überleben, nicht Ideologie.
Berichte von AP und den Vereinten Nationen describe Krypto-Diebstahl durchweg als Einkommensersatz für eine sanktionierte Volkswirtschaft und als direkte Finanzierung für ballistische Raketen- und Nuklearprogramme.
Von AP zitierte US-Beamte sind noch weiter gegangen und schätzen, dass Cyberkriminalität inzwischen fast die Hälfte der Deviseneinnahmen Nordkoreas ausmacht.
Krypto ist für diese Mission ein nahezu perfektes Ziel. Transaktionen werden in Minuten mit Endgültigkeit abgewickelt, nicht in Tagen, sodass es keine Korrespondenzbank gibt, die sie rückgängig machen könnte. Die Liquidität ist tief, Pseudonymität ist billig, und Cross-Chain-Schienen bewegen Werte schneller, als jede Strafverfolgungsbehörde sie einfrieren kann.
Yahoo Finance noted unter Berufung auf LayerZeros eigene Zeitleiste zu Kelp, dass der Angreifer nach dem Abfluss rund 74.000 Ether konsolidierte und Wallets etwa zehn Stunden vor dem Schlag über Tornado Cash vorfinanzierte.
Für eine Regierung, die einen Bankraub gegen einen Bridge-Raub abwägt, gewinnt die Bridge. every time.
Also Read: One Company Now Owns 4% Of All Ethereum, Bitmine Adds 101,627 ETH In A Week
Was die Onchain-Ermittler tatsächlich beigetragen haben
Arkham schrieb dem pseudonymen Ermittler ZachXBT „definitive Beweise“ zu, die den Bybit-Exploit über Testtransaktionen, verbundene Wallets und Timing-Analysen mit Lazarus verknüpften, in seinem Bounty-Post vom 21. Februar 2025.
Fünf Tage später nannte die FBI-Warnmeldung Nordkorea offiziell, nutzte das TraderTraitor-Label und veröffentlichte Wallet-Blocklisten.
Die Reihenfolge ist wichtig. Onchain-Ermittler wie ZachXBT gehören oft zu den ersten, die große Sicherheitsvorfälle öffentlich mit Lazarus-nahen Wallets und Geldwäschemustern verbinden – manchmal noch vor einer offiziellen Bestätigung.
Sie sind nicht die zentrale Wahrheitsquelle. Sie sind eine frühe, öffentliche Attributionsschicht, die Reaktionen auf Börsenebene beschleunigt, während Bundesbehörden langsamere, beweissichere Verfahren durchlaufen.
Diese Arbeitsteilung ist neu. Sie ist auch tragend, denn sobald gestohlene Gelder über Chains springen, zählt nur noch, wie schnell Adressen markiert werden.
Also Read: RaveDAO Jumps 62% In A Day, But Volume Now Exceeds Its Entire Market Cap
Warum die Branche diese Kämpfe weiterhin verliert
Die meisten Diskussionen über Kryptosicherheit drehen sich immer noch um Code-Audits. Lazarus kümmert sich nicht um Audits.
Die tatsächlich relevante Angriffsfläche ist operativ. Sie umfasst Drittanbieter-Signing-Tools, Wallet-Anbieter, Node-Infrastruktur, Rekrutierungskanäle, Build-Systeme und eine Handvoll Menschen mit privilegiertem Zugriff. Jeder dieser Punkte war in den letzten zwei Jahren bei mindestens einem Lazarus-nahen Vorfall aktiv beteiligt.
Chainalysis berichtet von einem zweiten strukturellen Problem: Der Geldwäschezyklus wurde zu einem rund 45-tägigen Drei-Wellen-Muster verfeinert, in dem gestohlene Gelder durch Mixer, Cross-Chain-Brücken und chinesischsprachige OTC-Netzwerke geschleust werden – in Tranchen aufgeteilt, die oft unter 500.000 US-Dollar bleiben, um Überwachungsmechanismen nicht auszulösen.
Die Reaktion der Branche bleibt zersplittert. Börsen setzen Sperrlisten mit unterschiedlicher Geschwindigkeit um. Einige DeFi-Protokolle pausieren, andere nicht.
Eine Dune-Analyse nach dem Vorfall ergab, dass 47 % der aktiven LayerZero-OApps weiterhin 1-von-1-DVN-Setups betrieben.
Der Verteidiger muss jede Woche gewinnen. Lazarus reicht ein Sieg pro Quartal.
Also Read: LayerZero, Aave, Monad All Sliding: What's Driving The DeFi Pullback Tonight
Was Kelp über die nächste Phase signalisiert
Die unbequeme Erkenntnis aus Kelp ist, dass die Lücke zwischen Code-Sicherheit und operativer Sicherheit selbst nach Bybit weiterhin groß ist.
Bybit war ein Kompromittieren der Signing-Schnittstelle mit einer Bilanz von 20 Milliarden US-Dollar im Hintergrund. Kelp war ein Infrastrukturangriff auf ein mittelgroßes, liquides Restaking-Protokoll.
Gleicher Akteurscluster, anderer Angriffsvektor, achtzehn Tage nach dem früheren Drift Protocol drain of roughly $285 million, der ebenfalls mit DPRK-Operativen in Verbindung gebracht wurde.
Diese Taktfrequenz ist der Punkt. Lazarus iteriert sein Playbook schneller, als DeFi-Teams ihre Abhängigkeiten absichern, und jeder erfolgreiche Treffer finanziert die nächste Runde an Rekrutierung, Werkzeugen und Geduld.
The Hacker News berichtete, dass DPRK-nahe Akteure im Jahr 2025 für 59 % aller weltweit gestohlenen Krypto-Vermögenswerte verantwortlich waren – ein Hinweis darauf, wie zentral dieser Gegner für die Verluste des Sektors geworden ist.
Konfigurationsentscheidungen wie Single-Verifier-Setups, nicht geprüfte Node-Betreiber und gemeinsam genutzte Wallet-Software sind keine Nebenrisiken mehr. In einer Welt, in der der Gegner ein Staat ist, sind sie das Hauptereignis.
Also Read: C1 Fund Books 150% Return On Ripple Investment In Less Than Four Months
Fazit
Lazarus ist der Beleg dafür, dass Kryptos größte Sicherheitsversagen mittlerweile gleichzeitig geopolitischer, finanzieller und infrastruktureller Natur sind.
Ronin, Harmony, WazirX, DMM Bitcoin, Bybit und nun Kelp sind keine Liste isolierter Unfälle. Sie bilden eine Kampagne – durchgeführt von einer sanktionierten Regierung gegen eine Branche, die immer noch unterschätzt, wie ein hartnäckiger staatlicher Gegner aussieht.
Der nächste Kelp-Vorfall wird bereits geplant. Die Frage ist, ob die Branche ihn als Bugreport oder als Frontlinie behandelt.
Read Next: Crypto Futures Wipeout: $197M Liquidated As BTC Climbs Above $76K
FAQ
Was ist beim Kelp-DAO-Hack passiert?
Am 18. April 2026 entzogen Angreifer einem von Kelp DAO betriebenen Cross-Chain-Bridge-Setup 116.500 rsETH im Wert von rund 292 Millionen US-Dollar. Der Exploit zielte nicht auf einen Smart-Contract-Bug ab. Stattdessen kompromittierten die Angreifer zwei Remote-Procedure-Call-Nodes, die im Decentralized Verifier Network von LayerZero genutzt wurden, und erzwangen dann ein Failover, sodass ein vergifteter Node eine betrügerische Cross-Chain-Nachricht absegnete. Das Notfall-Multisig von Kelp pausierte 46 Minuten später die Kernverträge und blockierte zwei weitere Drain-Versuche im Gesamtwert von etwa 100 Millionen US-Dollar.
Wer ist die Lazarus-Gruppe?
Lazarus ist das Sammel-Label für staatlich unterstützte Cyberakteure Nordkoreas, die vom US-Finanzministerium und dem FBI mit dem Reconnaissance General Bureau, der primären Militärgeheimdienstbehörde Pjöngjangs, in Verbindung gebracht werden. Analysten verfolgen mehrere Subcluster und Aliasse unter demselben Dach, darunter TraderTraitor, APT38, Bluenoroff, Andariel, Hidden Cobra, Diamond Sleet, Jade Sleet und Slow Pisces. Diese Cluster teilen sich häufig Infrastruktur und Personal.
Warum hat LayerZero den Kelp-Exploit Lazarus zugeschrieben?
Das Post-Mortem von LayerZero verwies auf die Vorgehensweise der Angreifer und das Wallet-Verhalten als Kennzeichen eines staatlichen Akteurs, konkret der TraderTraitor-Untereinheit von Lazarus. Die Vorfinanzierung über Tornape Cash rund zehn Stunden vor dem Angriff, der Einsatz selbstzerstörender Binärdateien auf kompromittierter Infrastruktur und die Konsolidierung von rund 74.000 Ether nach dem Drain entsprechen Mustern, die in früheren DPRK-nahen Exploits dokumentiert wurden.
Wie viel Krypto hat Nordkorea insgesamt gestohlen?
Chainalysis identifiziert bislang 6,75 Milliarden US-Dollar an DPRK-zugeordneten Krypto-Diebstählen. Davon wurden 2,02 Milliarden US-Dollar allein im Jahr 2025 entwendet, was etwa 59 % aller weltweit in diesem Jahr gestohlenen Krypto-Vermögenswerte ausmacht. Frühere Berichte des südkoreanischen National Intelligence Service bezifferten die Fünfjahressumme bis 2022 auf geschätzte 1,2 Milliarden US-Dollar, während ein UN-Expertenpanel zwischen 2017 und 2023 insgesamt 58 mutmaßliche DPRK-Cyberangriffe im Wert von rund 3 Milliarden US-Dollar untersuchte.
Was ist TraderTraitor?
TraderTraitor ist ein Lazarus-Subcluster mit Spezialisierung auf Ziele in der Kryptoindustrie. Sein Markenzeichen ist Social Engineering gegen technisches Personal – häufig über fingierte Recruiter-Pitches auf LinkedIn, mit Malware präparierte Einstellungstests und die Kompromittierung von Wallet-Software-Anbietern oder Signing-Infrastruktur. Das FBI, das Verteidigungsministerium der USA und die japanische National Police Agency nannten TraderTraitor offiziell beim 308-Millionen-US-Dollar-Diebstahl bei DMM Bitcoin, und das FBI benannte die Einheit später erneut als Betreiber des 1,5-Milliarden-US-Dollar-Bybit-Raubs.
Was sind die größten Lazarus-nahen Kryptohacks?
Zu den größten öffentlich zugeschriebenen Vorfällen zählen das Ronin Network im März 2022 mit rund 625 Millionen US-Dollar, Harmony Horizon im Juni 2022 mit etwa 100 Millionen US-Dollar, WazirX im Juli 2024 mit rund 235 Millionen US-Dollar, DMM Bitcoin im Mai 2024 mit etwa 308 Millionen US-Dollar, Bybit im Februar 2025 mit rund 1,5 Milliarden US-Dollar und Kelp DAO im April 2026 mit etwa 292 Millionen US-Dollar.
Wie wäscht Lazarus gestohlene Krypto?
Chainalysis beschreibt einen verfeinerten, rund 45-tägigen Drei-Wellen-Geldwäschezyklus. Gestohlene Gelder werden durch Mixer, Cross-Chain-Brücken und chinesischsprachige OTC-Netzwerke geleitet, häufig aufgeteilt in Tranchen unter 500.000 US-Dollar, um Überwachungsschwellen nicht zu überschreiten. Das Ziel ist, Börsensperrlisten und Onchain-Analysen zu überlaufen, bevor die Gelder Cash-out-Plattformen erreichen.
Warum zielt Nordkorea auf Krypto ab?
Kryptodiebstahl fungiert als Sanktionsumgehungs-Einnahmequelle für die isolierte nordkoreanische Wirtschaft und als direkte Finanzierung seiner ballistischen Raketen- und Nuklearprogramme, so UN-Expertenberichte und von AP zitierte US-Beamte. US-Schätzungen zufolge macht Cyberkriminalität mittlerweile nahezu die Hälfte der Deviseneinnahmen Nordkoreas aus. Krypto-Rails eignen sich für diese Mission, weil Transaktionen in Minuten mit Finalität abgewickelt werden und nicht von einer Korrespondenzbank rückgängig gemacht werden können.
Wer ist ZachXBT und welche Rolle spielte er?
ZachXBT ist ein pseudonymer Onchain-Ermittler, dessen öffentliche Attributionsarbeit wiederholt formalen Regierungsbestätigungen vorausging. Im Bybit-Fall schrieb Arkham ihm in dem Bounty-Post vom 21. Februar 2025 die Transaktionsanalyse zu, die den Exploit mit Lazarus verband – fünf Tage bevor das FBI Nordkorea offiziell nannte. Onchain-Sleuths wie ZachXBT bilden eine frühe, öffentliche Attributionsschicht; sie ersetzen Bundesermittler nicht, ermöglichen aber eine schnellere Reaktion auf Börsenebene.
Kann die Kryptoindustrie Lazarus stoppen?
Nicht allein mit Code-Audits. Die relevante Angriffsfläche ist operativ und umfasst Drittanbieter-Signing-Tools, Wallet-Anbieter, Node-Infrastruktur, Rekrutierungskanäle und Build-Systeme. Eine Dune-Analyse nach dem Kelp-Vorfall ergab, dass 47 % der aktiven LayerZero-OApps weiterhin 1-von-1-Verifier-Setups betrieben – exakt jene Konfiguration, die den Kelp-Exploit ermöglichte. Die Härtung dieser Schicht, über Anbieter, Infrastrukturanbieter und menschliche Zugriffe hinweg, ist heute der Hebel, an dem Verteidigungsfortschritte ansetzen.
Ist Kelp DAO jetzt wieder sicher zu benutzen?
Kelp pausierte die Kernverträge über sein Notfall-…multisig innerhalb von 46 Minuten nach der Erkennung, wodurch zwei weitere Drain‑Versuche blockiert wurden. Nutzer sollten die offiziellen Incident‑Kanäle von Kelp und LayerZero auf den aktuellen Vertragsstatus, etwaige Rückerstattungs- oder Entschädigungsprogramme und aktualisierte Verifier‑Konfigurationen prüfen, bevor sie ihre Aktivitäten wieder aufnehmen.
Was ist der Unterschied zwischen Lazarus und TraderTraitor?
Lazarus ist der Überbegriff. TraderTraitor ist ein spezialisierter Untercluster innerhalb dieses Rahmens, der sich auf Ziele in der Kryptoindustrie konzentriert und für Social‑Engineering‑Angriffe auf Entwickler und Anbieter von Wallet‑Software bekannt ist. Wenn das FBI einen Angriff ausdrücklich TraderTraitor zuschreibt, benennt es damit die operative Einheit, nicht nur das breitere staatlich angebundene Ökosystem.