Aave überarbeitet die Listing-Standards, nachdem rsETH im Wert von 230 Millionen US-Dollar exponierte Bridge-Risiken ausgenutzt hat

Der teuerste DeFi-Angriff des Jahres 2026 begann mit der neu abgesteckten Ether-Brücke (rsETH) von KelpDAO, nicht mit einem Fehler im Aave-Code. Das ist, so argumentiert das Kreditprotokoll in einem diese Woche veröffentlichten offiziellen Post-Mortem-Bericht, genau der Grund, warum die Branche überdenken muss, wie sie das Risiko misst.

Aave sagte, dass es eine Überprüfung aller auf V3 gelisteten Vermögenswerte einleitet und seine Listungsstandards neu schreibt, nachdem der ETH-Exploit im Wert von 230 US-Dollar im April eine neue Klasse von DeFi-Risiken aufgedeckt hat.

Die Obduktion des Protokolls führte den Angriff nicht auf einen Fehler in den Smart Contracts von Aave zurück, sondern auf einen Fehler bei der LayerZero-Bridge-Verifizierung, bei dem ein einzelner Verifizierer eine gefälschte Cross-Chain-Nachricht genehmigte, die 116.500 nicht gesicherte rsETH freigab.

Laut Aave werden Sicherheitenbewertungen künftig Brücken, Oracle-Abhängigkeiten, Depotbanken und Betriebssicherheit neben den traditionell geprüften Finanz- und Smart-Contract-Risiken abwägen.

KelpDAO ist ein „Restating“-Dienst, der es Benutzern ermöglicht, ihren bereits in Ethereum gesperrten Ether zu nehmen, um Staking-Belohnungen zu verdienen, und ihn als Sicherheit wiederzuverwenden, um zusätzliche Erträge aus anderen Protokollen zu erzielen. Der Token rsETH repräsentiert den Anspruch eines Benutzers auf diesen erneut eingesetzten Ether. Um rsETH zwischen Blockchains zu verschieben, verwendet KelpDAO LayerZero, eine Infrastruktur namens Cross-Chain-Bridge, die Nachrichten zwischen Netzwerken weiterleitet, sodass ein in einer Kette ausgegebener Token in einer anderen angezeigt werden kann.

Bridges stützen sich auf eine Reihe unabhängiger Prüfer, die bestätigen, dass jede Nachricht echt ist, bevor die Empfangskette die entsprechenden Token freigibt.

Bei dem Angriff im April genehmigte nur einer dieser Verifizierer eine gefälschte Nachricht, die es dem Angreifer ermöglichte, 116.500 rsETH in der Empfangskette zu prägen, ohne dass tatsächlich Ether dahinter steckte.

Diese Token wurden dann bei Aave hinterlegt, einem Kreditprotokoll, bei dem Benutzer Kredite gegen von ihnen hinterlegte Sicherheiten aufnehmen und zur Aufnahme von Krediten verwendet werden, die Aave nicht mehr zurückerhalten konnte, nachdem sich herausstellte, dass rsETH wertlos war. Aaves eigener Code funktionierte genau wie geplant. Die akzeptierten Sicherheiten erwiesen sich als gefälscht, da die Brücke, die sie lieferte, kompromittiert worden war.

Während LayerZero Anfang des Monats einräumte, dass es „einen Fehler gemacht“ habe, indem es seinem eigenen Verifizierungssystem erlaubte, hochwertige Vermögenswerte in einer Eins-zu-Eins-Konfiguration zu sichern, geht Aaves Obduktion noch einen Schritt weiter und nutzt den Vorfall, um eine umfassendere Überarbeitung des DeFi-Risikomanagements zu rechtfertigen.

Das Protokoll argumentiert, dass herkömmliche Überprüfungen, die sich auf Volatilität, Liquidität und intelligente Vertragsprüfungen konzentrieren, die Risiken nicht erfassen können, die durch Brücken, Verifizierungsnetzwerke und andere Infrastruktur außerhalb des Anwendungscodes entstehen.

Über intelligente Vertragsprüfungen und finanzielle Risikoanalysen hinaus wird Aave nun die Brückeninfrastruktur, Oracle-Abhängigkeiten, Verträge mit Dritten, Verwahrungsvereinbarungen, betriebliche Sicherheitspraktiken und die Liquidität des Sekundärmarkts bewerten, bevor die Auflistung von Sicherheiten genehmigt oder erweitert wird.

Das Protokoll baut auch neue automatisierte Abwehrmechanismen auf, die schneller reagieren sollen, wenn Sicherheitenwerte Anzeichen einer Notlage zeigen. Zu den Vorschlägen, die in der Obduktion dargelegt werden, gehört ein System, das die Beleihungsquote eines Vermögenswerts automatisch auf Null reduziert, sobald vordefinierte Risikoschwellen überschritten werden, und ihm so die Kreditaufnahmekraft entzieht, bevor sich Verluste auf den breiteren Markt ausbreiten können.

Seit dem Exploit haben die Risikomanager von Aave nach Angaben von Aave bereits etwa 295 Parameteränderungen in allen V3-Märkten durchgeführt, darunter 168 Reduzierungen der Angebotsobergrenze und 66 Reduzierungen der Kreditobergrenze, um das Risiko einzelner Vermögenswerte zu begrenzen.

Da die DeFi-Protokolle immer stärker vernetzt sind, deutet die Obduktion von Aave darauf hin, dass die Branche möglicherweise nicht nur die aufgelisteten Vermögenswerte, sondern auch die Infrastruktur, von der diese Vermögenswerte abhängen, genau unter die Lupe nehmen muss