Der 292-Millionen-Dollar-Kelp-Exploit: Wie es dazu kam und was er für DeFi bedeutet
Ein Exploit im Wert von rund 292 Millionen US-Dollar hat am Wochenende die Kryptoindustrie erschüttert, Schwachstellen in der dezentralen Finanzinfrastruktur (DeFi) aufgedeckt und Bedenken hinsichtlich Folgewirkungen auf alle Kreditprotokolle geweckt.
Während die Untersuchungen noch andauern, deuten erste Analysen darauf hin, dass sich der Angriff auf Kelps rsETH-Token – eine renditebringende Version von Ether ($ETH) – und den Mechanismus konzentrierte, der zum Verschieben von Vermögenswerten zwischen Blockchains verwendet wird.
Der Angreifer scheint dieses System manipuliert zu haben, um große Mengen an Token ohne entsprechende Absicherung zu erstellen und diese dann schnell als Sicherheit zu verwenden, um Sachwerte von den Kreditmärkten zu leihen und abzuziehen, hauptsächlich von Aave, dem größten dezentralen Krypto-Kreditgeber.
Der Vorfall ist der jüngste Schlag für DeFi und ereignete sich nur wenige Wochen nach der 285-Millionen-Dollar-Exploitung des Solana-basierten Protokolls Drift, was das Vertrauen der Anleger in den fast 90 Milliarden US-Dollar schweren Kryptosektor weiter schwächt.
Wie der Angriff funktionierte
Auf hoher Ebene zielte der Exploit auf eine LayerZero-Bridge-Komponente ab – ein Teil der Infrastruktur, die es ermöglicht, Vermögenswerte über verschiedene Blockchains hinweg zu bewegen, sagte Charles Guillemet, CTO des Hardware-Wallet-Herstellers Ledger, in einer Notiz gegenüber CoinDesk.
Brücken funktionieren normalerweise, indem sie Vermögenswerte in einer Kette sperren und entsprechende Token in einer anderen prägen. Dieser Prozess hängt davon ab, dass eine vertrauenswürdige Instanz – oft als Orakel oder Validator bezeichnet – Einzahlungen bestätigt.
In diesem Fall fungierte Kelp praktisch als Prüfer. Laut Guillemet basierte das System auf einem Einzelunterzeichner-Setup, was bedeutete, dass nur eine Entität alle Transaktionen genehmigen konnte.
„Es scheint, dass der Angreifer in der Lage war, eine Nachricht zu signieren … die es ihm ermöglichte, eine große Menge rsETH zu prägen“, sagte er. Er fügte hinzu, dass es weiterhin unklar sei, wie dieser Zugang erlangt wurde.
Michael Egorov, Gründer von Curve Finance, wies auf die gleiche Schwachstelle in der Systemkonfiguration hin.
„Dinge können passieren, wenn man einer einzigen Partei vertraut – wer auch immer das sein mag.“
Dieses Setup ermöglichte es dem Angreifer, effektiv nicht gesicherte Token zu erstellen, obwohl keine entsprechenden Vermögenswerte in der Quellkette gesperrt waren.
Nach der Prägung wurden die Token schnell eingesetzt. Der Angreifer „hat sie sofort in Kreditprotokollen (hauptsächlich Aave) hinterlegt, um sich echte ETH-Dollar zu leihen“, erklärte Guillemet.
Dieses Manöver verlagerte das Problem von einem einzelnen Exploit zu einem umfassenderen Marktproblem. DeFi-Kreditplattformen verfügen nun über Sicherheiten, die möglicherweise nur schwer abzuwickeln sind, während wertvolle und liquide Vermögenswerte bereits aufgebraucht sind.
„Aave blieb mit rsETH zurück, das nicht wirklich verkauft und maximal geliehen werden konnte [sic] $ETH, sodass niemand $ETH abheben kann“, sagte Egorov von Curve.
Infolgedessen könnten Aave und andere Kreditvereinbarungen auf fragwürdigen Sicherheiten und uneinbringlichen Schulden in Höhe von Hunderten Millionen Dollar sitzen, warnte er und gab Anlass zu Bedenken hinsichtlich einer möglichen „Bank Run“-Dynamik, da die Benutzer sich beeilen, Gelder abzuheben.
Aave verzeichnete einen Rückgang der Vermögenswerte im Rahmen des Protokolls um etwa 6 Milliarden US-Dollar, da Benutzer nach dem Vorfall ihre Vermögenswerte abzogen. Der mit dem Protokoll verbundene Token ist in den letzten 24 Handelsstunden um etwa 15 % gefallen.
Was wir noch nicht wissen
Es bleiben wichtige Fragen, wie der Validator kompromittiert wurde. Das System stützte sich auf den offiziellen Knoten von LayerZero, was Unsicherheit darüber aufkommen ließ, ob es gehackt, falsch konfiguriert oder in die Irre geführt wurde.
„Wurde es gehackt? Wurde es getäuscht? Wir wissen es nicht“, sagte Egorov.
Die Identität des Angreifers ist ebenfalls unbekannt, obwohl Guillemet sagte, das Ausmaß des Angriffs lasse auf einen raffinierten Täter schließen.
„Eindeutig keine Drehbuchkinder“, sagte er.
Schwerer Schlag für das Vertrauen in DeFi
Abgesehen von den unmittelbaren Verlusten dient der Exploit in dieser Episode als weitere Erinnerung daran, dass mit der zunehmenden Vernetzung von DeFi Ausfälle auf einer Ebene schnell auf das gesamte System übergreifen können.
Egorov argumentierte, dass nicht isolierte Kreditvergabemodelle, bei denen Vermögenswerte das Risiko über Pools hinweg teilen, die Auswirkungen solcher Ereignisse verstärken.
Er wies auch auf Mängel bei der Einbindung neuer Vermögenswerte in Kreditplattformen hin und sagte, dass Konfigurationen wie Kelps 1-von-1-Verifizierer-Setup früher hätten gekennzeichnet werden sollen.
Allerdings sagte Egorov, dass es einen Silberstreif am Horizont gäbe. „Krypto ist ein raues Umfeld, das keine Bank überlebt hätte – dennoch arbeiten wir damit“, sagte er. „Ich denke, DeFi wird aus diesem Vorfall lernen und stärker werden als zuvor.“
Doch selbst wenn Vorfälle wie dieser zu Protokollaktualisierungen und -neugestaltungen führen, erschüttern sie auch das Vertrauen der Anleger in den breiteren DeFi-Sektor.
„Alles in allem wird das Vertrauen in DeFi-Protokolle durch ein solches Ereignis untergraben“, sagte Guillemet.
„Und 2026 wird höchstwahrscheinlich wieder das schlimmste Jahr in Bezug auf Hacks sein“, fügte er hinzu.
Lesen Sie mehr: „DeFi ist tot“: Die Krypto-Community gerät in Aufruhr, nachdem der größte Hack dieses Jahres Ansteckungsrisiken aufgedeckt hat