Die DeFi-Landschaft wurde letzten Monat durch gefälschte Transaktionsfehler auf der Ethereum Liquid Stake-Plattform von Aave erschüttert

Ein verheerender Exploit am 18. April 2026 brachte eine eklatante Schwachstelle in der Brückeninfrastruktur zutage, die die Märkte von Aave verbindet, insbesondere die Kelp rsETH LayerZero V2-Brücke, die Unichain mit Ethereum verbindet. Durch das Fälschen einer kettenübergreifenden Nachricht konnte ein Angreifer beträchtliche 116.500 rsETH in das Ethereum-Ökosystem freigeben, ohne Unichain entsprechend zu beschädigen, und diese Token anschließend als Sicherheit verwenden, um Kredite über mehrere Aave V3-Positionen aufzunehmen. Glücklicherweise kam es zu einer schnellen und koordinierten Erholungsbemühung, die letztendlich dazu führte, dass die Märkte wieder in ihren Normalzustand zurückkehrten und volle Unterstützung gewährleistete.

Die Ursache des Problems lag in der Architektur der Brücke, die stark auf einen einzigen Verifizierer angewiesen war, um alle eingehenden kettenübergreifenden Nachrichten zu authentifizieren, was im Wesentlichen zu einem Single Point of Failure führte. Diese als One-of-one Decentralized Verifier Network bekannte Konfiguration erwies sich als anfällig für externe Manipulationen, als der Verifizierer Ziel eines RPC-Poisoning-Angriffs wurde, wodurch der Angreifer seine Sicht auf den Zustand der Quellkette verfälschen konnte. Am 18. April um 17:35 UTC akzeptierte der Ethereum-Endpunkt eine eingehende Nachricht mit Nonce 308 und gab die oben genannten 116.500 rsETH frei, während der Unichain-Endpunkt weiterhin nur ausgehende Nonce 307 anzeigte, was darauf hinweist, dass in der Quellkette kein Burn aufgetreten war.

Der Erfolg des Exploits war nicht auf einen Fehler im Smart-Contract-Code von Aave zurückzuführen, sondern auf die Abhängigkeit der Bridge von einem einzelnen Verifizierer und ihre Anfälligkeit für externe Manipulation, eine Schwachstelle, die außerhalb des Aave-Protokolls bestand. Nach der Veröffentlichung der rsETH-Token verteilte der Angreifer diese schnell auf sieben Empfängeradressen, wobei 89.567 rsETH als Sicherheit auf acht Aave V3-Positionen auf Ethereum Core und Arbitrum eingesetzt wurden, um Kredite in Höhe von insgesamt 82.650 WETH und 821 wstETH zu sichern. Der Angreifer hielt die Gesundheitsfaktoren sorgfältig zwischen 1,01 und 1,03 und konnte so eine automatische Liquidation nur knapp vermeiden.

Die Gefährdung von Aave durch den Exploit ergab sich aus der Auflistung von rsETH als Sicherheit unter Standardbedingungen für die Übersicherung, wodurch eine direkte Abhängigkeit von der Verifizierungsinfrastruktur der Brücke entstand, die außerhalb der Kontrolle von Aave liegt. Als Reaktion darauf trat der Aave Protocol Guardian in Aktion, fror rsETH und wrsETH in Aave V3 ein und setzte das Beleihungsverhältnis (LTV) bis zum 18. April um 19:00 UTC auf Null. Darüber hinaus wurde der Kelp Spoke auf Aave V4 vollständig eingefroren und die WETH-Kreditaufnahme sofort deaktiviert.

Während die Reaktionsbemühungen voranschritten, konnte Kelp zwischen 18:00 und 19:00 UTC erfolgreich 43.373 rsETH, die mit dem Exploit verbunden waren, pausieren und so den weiteren Schaden begrenzen. In den nächsten zwei Tagen wurden zusätzliche Schutzmaßnahmen umgesetzt, darunter das Einfrieren von WETH über mehrere Einsätze hinweg, wie etwa Ethereum Core, Ethereum Prime, Arbitrum, Base, Mantle und Linea am 20. April. Der Sicherheitsrat von Arbitrum hat am 21. April weitere 30.766 mit dem Angreifer verbundene ETH eingefroren. Bis zum 23. April waren die rsETH-Reserven über mehrere Einsätze hinweg vollständig pausiert worden, was die potenzielle Liquidierung von Angreiferpositionen und die Wiederherstellung von Vermögenswerten für die Betroffenen ermöglichte Benutzer, wodurch die Auswirkungen des Exploits abgeschwächt werden.