Durch einen Kelp-DAO-Sicherheitsverstoß in Höhe von 292 Millionen US-Dollar ist Aave mit einem massiven Forderungsausfallrisiko konfrontiert

Inhaltsverzeichnis Bei der bislang bedeutendsten DeFi-Sicherheitsverletzung im Jahr 2026 wurde Kelp DAO am 18. April Opfer eines raffinierten Angriffs, der zum Diebstahl von 116.500 rsETH-Tokens führte, was einem Wert von etwa 292 Millionen US-Dollar aus seiner LayerZero-integrierten Cross-Chain-Bridge-Infrastruktur entspricht. Update zum rsETH-Vorfall: @LlamaRisk hat einen Bericht veröffentlicht, in dem der rsETH-Vorfall, die unmittelbar ergriffenen Maßnahmen, seine Auswirkungen auf Aave und mögliche weitere Vorgehensweisen beschrieben werden. Alle Dienstanbieter haben daran gearbeitet, die beiden potenziellen Forderungsausfallszenarien im Aave-Protokoll zu bewerten.… – Aave (@aave) 20. April 2026 Laut der Analyse von LayerZero haben die Täter – vermutlich die berüchtigte von Nordkorea aus operierende Lazarus Group – erfolgreich eine Liste von RPC-Knoten kompromittiert, die vom dezentralen verifizierten Netzwerk verwendet werden. Die Angreifer vergifteten zwei Knoten und starteten gleichzeitig einen DDoS-Angriff (Distributed Denial of Service) gegen einen dritten Knoten, wodurch das System effektiv dazu verleitet wurde, eine betrügerische Cross-Chain-Nachricht zu validieren, die die Erstellung von 116.500 rsETH autorisierte. Kelp DAO reagierte schnell, als es die Sicherheitslücke entdeckte. Das Team setzte sofort alle betroffenen Smart Contracts aus und führte Blacklist-Maßnahmen gegen mit dem Angreifer verbundene Wallets ein, eine Abwehrmaßnahme, die Berichten zufolge den zusätzlichen Verlust von 40.000 rsETH, was etwa 95 Millionen US-Dollar entspricht, verhinderte. Die kompromittierten Token wurden anschließend in Aave V3 hinterlegt. Der Täter stellte 89.567 rsETH – im Wert von rund 221 Millionen US-Dollar – als Sicherheit für die Ausleihe von 82.650 verpackten Ethern plus 821 wstETH zur Verfügung und schuf Positionen mit kritisch niedrigen Gesundheitsfaktoren, die Aave nun einem erheblichen Forderungsausfallrisiko aussetzen. Seit dem Exploit hat Aave einen Exodus von fast 10 Milliarden US-Dollar an gesperrtem Gesamtwert erlebt. LayerZero hat einen detaillierten Bericht veröffentlicht, in dem er die 1-von-1-DVN-Konfiguration von Kelp DAO als kritischen Single Point of Failure bezeichnet. Das Unternehmen behauptet, Kelp habe Empfehlungen zur Implementierung einer diversifizierteren DVN-Architektur erhalten, lehnte es jedoch ab, auf diese Leitlinien zu reagieren. Kelp DAO hat diese Darstellung bestritten und behauptet, dass die 1-von-1-Konfiguration das standardmäßige Standard-Setup darstellt, das in der offiziellen Dokumentation von LayerZero ausdrücklich beschrieben ist. Kelp behauptet, dass LayerZero diese Konfiguration während der Expansion von Kelp in Layer-2-Netzwerkbereitstellungen „bestätigt als angemessen“ bestätigt habe. Beide Organisationen haben ihr Engagement für gemeinsame Lösungsbemühungen bekundet. LlamaRisk, der Risikomanagementpartner von Aave, hat zwei unterschiedliche Szenarien erstellt, die auf der Grundlage der bevorstehenden Entscheidungen von Kelp DAO potenzielle Forderungsausfälle prognostizieren. Der erste Weg verteilt Verluste gleichmäßig auf alle rsETH-Inhaber sowohl im Ethereum-Mainnet als auch in Layer-2-Netzwerken. Dieser Ansatz würde eine 15-prozentige Aufhebung der Bindung von rsETH auslösen und etwa 123,7 Millionen US-Dollar an uneinbringlichen Schulden für Aave generieren. Der Primärmarkt von Ethereum würde mit 91,8 Millionen US-Dollar den größten nominalen Verlust verkraften, obwohl seine beträchtlichen Reserven das Defizit auf nur 1,54 % der Bestände begrenzen würden. In diesem Szenario würde Mantle mit 9,54 % die stärkste proportionale Auswirkung erfahren. Der alternative Weg konzentriert alle Verluste ausschließlich auf Layer-2-Netzwerke und behält gleichzeitig die volle Unterstützung für das Ethereum-Hauptnetz rsETH bei. Dies würde einen verheerenden Abschlag von 73,54 % für die Sicherheiten der Schicht 2 zur Folge haben und die gesamten uneinbringlichen Schulden auf 230,1 Millionen US-Dollar ansteigen lassen, verteilt auf die Mantle-, Arbitrum- und Base-Märkte. Im ersten Szenario stehen dem Umbrella-Sicherheitsmodul von Aave 54 Millionen US-Dollar zur Verfügung, die als Sicherheitsnetz eingesetzt werden können. Dieser Schutz wäre im zweiten Szenario nicht anwendbar. Aave betonte, dass die endgültige Lösung von Kelp DAOs Ansatz zur Aktualisierung der rsETH-Buchhaltungsmechanismen und Oracle-Wechselkursberechnungen abhängt. Das Aave DAO verfügt derzeit über 181 Millionen US-Dollar an Treasury-Reserven und hat Zusagen von Ökosystem-Stakeholdern erhalten, um zusätzliche Unterstützung bereitzustellen, falls uneinbringliche Schulden entstehen. Am Montag bestätigte Kelp DAO, dass es weiterhin die finanziellen Auswirkungen prüft und seine Verlustverteilungsstrategie oder seinen Wiederherstellungsrahmen noch nicht bekannt gegeben hat.