Der DeFi-Riese Aave leidet unter einem enormen Einbruch des Gesamtwerts um 6 Milliarden US-Dollar, nachdem der Kelp-Exploit versteckte Schwachstellen aufgedeckt hat.
Aave musste gerade mit ansehen, wie 6,6 Milliarden US-Dollar verschwanden, und das nicht, weil irgendjemand Aave gehackt hätte.
Laut DefiLlama sank der Gesamtwert des Protokolls in den US-Morgenstunden am Sonntag von 26,4 Milliarden US-Dollar am 18. April auf fast 20 Milliarden US-Dollar. Der $AAVE-Token fiel um 16 % auf 92 US-Dollar, und die täglichen Gebühren stiegen auf 1,99 Millionen US-Dollar, da die Liquidationen über das Wochenende hinweg zunahmen.
Die Einleger kündigen, weil Aave ein Loch hat, das es nicht geschaffen hat. Als Angreifer am Samstag 116.500 rsETH von Kelps Brücke abzogen, deponierten sie die gestohlenen Token als Sicherheit auf Aave V3 und liehen sich verpackten Ether gegen sie aus.
On-Chain-Tracker beziffern den Aave-spezifischen Kredit auf rund 196 Millionen US-Dollar, wobei die Gesamtpositionen bei Aave, Compound und Euler bei rund 236 Millionen US-Dollar liegen.
Aave ist das größte Kreditprotokoll in DeFi, bei dem Benutzer Krypto hinterlegen, um Erträge zu erzielen, und andere Benutzer Kredite gegen Sicherheiten aufnehmen. Kelp ist ein flüssiges Restaking-Protokoll, das bereits auf Ethereum eingesetzten Ether durch ein separates ertragsgenerierendes System namens EigenLayer leitet und im Gegenzug einen Empfangstoken namens rsETH ausgibt.
Dieses rsETH ist das, womit Benutzer handeln, und vor allem das, was einige Benutzer auf Aave als Sicherheit für Kredite gepostet haben.
Am Samstag brachten Angreifer die Cross-Chain-Brücke von Kelp dazu, 116.500 rsETH im Wert von etwa 292 Millionen US-Dollar an eine von ihnen kontrollierte Adresse freizugeben. Anschließend hinterlegten sie das gestohlene rsETH als Sicherheit auf Aave V3 und liehen sich dafür verpackten Ether aus.
Eine Bridge ist eine Blockchain-basierte Methode, die Token zwischen verschiedenen Netzwerken überträgt, wo sie ursprünglich möglicherweise nicht unterstützt werden.
Aave sagte zunächst, dass die Umbrella-Reserve jedes Defizit decken würde. Am Samstagnachmittag hatte sich die Sprache gemildert, „Wege zu erkunden, um das Defizit auszugleichen“. So spricht ein Protokoll nicht, wenn es weiß, wie viel es schuldet und das Geld hat, um es zu bezahlen.
Die Konzentration erklärt, warum der Schaden hier landet. Das Kreditbuch von Aave umfasst 22 Ketten, aber Ethereum allein hält 14,24 Milliarden US-Dollar der 17,82 Milliarden US-Dollar an ausstehenden Krediten. WETH macht 39,49 % aller Kredite im Protokoll aus, was bedeutet, dass der Angriff genau das Sicherheiten-zu-WETH-Paar traf, das Aaves Buch dominiert.
Stani Kulechov, der Gründer von Aave, sagte, der Exploit sei extern gewesen und die Verträge des Protokolls seien nicht kompromittiert worden. Aber Aave akzeptierte als Sicherheit einen liquiden Rest-Token, und die Deckung dieses Tokens verschwand auf einer Brücke, die Aave nicht kontrolliert. Die Einleger verlieren so oder so.
Liquide Restaking-Token wurden in allen wichtigen Kreditprotokollen auf die Whitelist gesetzt, da sie Rendite brachten und einen wachsenden Anteil am gesperrten Wert von Ethereum darstellten.
Die Risikomodelle bewerteten sie so, als ob sie unter normalen Bedingungen an die Bindung gebunden wären. Allerdings hat keiner von ihnen ein Szenario eingepreist, bei dem die Sicherheiten auf Null sinken, weil eine Brücke in einer Kette, die Aave nicht berührt, an einem Samstag ausgenutzt wurde.
„$AAVE ist das Rückgrat von DeFi, es stecken Milliarden darin, und so ziemlich jede einzelne neue DeFi-Infrastruktur auf neuen Ketten ist ein Fork davon“, schrieb der Altcoin-Händler Sherpa auf X. „Wenn $AAVE ein Ansteckungsrisiko birgt, zeigt das die Fragilität des gesamten Systems.“
Was der Token-Preis jetzt zu beantworten versucht, ist, ob Umbrella groß genug ist, um das Loch zu schließen, und ob stkAAVE-Inhaber, die diese Reserve unterstützen, dabei sind, den Verlust aufzufressen.