292-Millionen-Dollar-Exploit löst Streit aus: Aave sieht sich mit einem Risiko von bis zu 230 Millionen Dollar durch belastete rsETH-Sicherheiten konfrontiert.
Kelp DAO hat auf wachsende Kritik nach einem schwerwiegenden Cross-Chain-Bridge-Exploit reagiert, bei dem Vermögenswerte im Wert von rund 292 Millionen US-Dollar abgezogen wurden. Zwischen Kelp DAO und LayerZero sind Spannungen darüber entstanden, wer für den Angriff verantwortlich ist. Gleichzeitig hat der Vorfall Wellen im gesamten DeFi-Bereich geschlagen, insbesondere in den Kreditmärkten von Aave. Die Aufmerksamkeit richtet sich nun darauf, wie die Verluste gehandhabt werden und ob systemische Risiken eingedämmt werden können.
LayerZero verweist auf Validierungsfehler beim Kelp-DAO-Hack, Team verteidigt das Setup
Kelp DAO gab am Montag eine Erklärung ab, in der es sich von der direkten Verantwortung für den Exploit distanzieren wollte. Der Angriff erfolgte am 18. April, als Angreifer 116.500 rsETH-Token von seiner LayerZero-betriebenen Bridge abzweigten. Damit zählt der Vorfall zu den größten in diesem Jahr verzeichneten DeFi-Exploits.
Laut LayerZero erhielten die Angreifer Zugang zu kritischer Infrastruktur, die mit seinem dezentralen verifizierten Netzwerk (DVN) verbunden ist. Ermittler gehen davon aus, dass die hinter dem Exploit stehende Gruppe mit der nordkoreanischen Lazarus Group in Verbindung stehen könnte.
Berichten zufolge ermöglichten kompromittierte RPC-Knotendaten es den Angreifern, zwei Knoten zu manipulieren. Ein koordinierter DDoS-Angriff zwang dann das DVN, eine betrügerische Cross-Chain-Nachricht zu akzeptieren, was letztlich zur Signierung einer unbefugten Transaktion führte.
Der Bericht von LayerZero wies auf die von Kelp DAO verwendete 1-von-1-DVN-Konfiguration als Hauptschwachstelle hin. Dieses Setup bedeutete, dass nur eine einzige Verifizierungsquelle benötigt wurde, um Transaktionen zu genehmigen. Ohne zusätzliche unabhängige Validatoren fehlten dem System Sicherheitsvorkehrungen, um manipulierte Nachrichten zu erkennen. LayerZero gab an, Kelp DAO zuvor zu einer stärker verteilten Konfiguration geraten zu haben.
— LayerZero (@LayerZero_Core) April 20, 2026
Kelp DAO wies diese Behauptungen zurück. In seiner Antwort erklärte das Team, dass das 1-von-1-DVN-Modell den eigenen Standard-Bereitstellungseinstellungen von LayerZero entspreche. Das Protokoll verwies auch auf eine laufende Kommunikation mit LayerZero seit Anfang 2024. Während seiner Expansion auf Layer-2-Netzwerke habe Kelp erklärt, dass die Konfiguration geprüft und als geeignet genehmigt worden sei.
Kelp-DAO-Hack greift auf Aave über und löst ein Sicherheitsrisiko von 221 Millionen US-Dollar aus
Die Bemühungen, die Folgen in den Griff zu bekommen, begannen kurz nach dem Exploit. Kelp DAO bestätigte, dass es die betroffenen Verträge pausierte und mit dem Angreifer verbundene Wallets auf eine Schwarze Liste setzte. Diese Schritte halfen, weiteren Schaden zu begrenzen, obwohl ein Großteil der Mittel bereits abgezogen worden war.
Die Konsequenzen breiteten sich schnell über das Ökosystem von Kelp DAO hinaus aus. Ein erheblicher Teil des gestohlenen rsETH wurde auf die Aave-V3-Plattform eingezahlt. Der Angreifer nutzte diese Vermögenswerte als Sicherheit, um große Mengen an WETH und wstETH zu leihen. Diese Aktivitäten weckten Bedenken hinsichtlich potenzieller fauler Kredite in den Kreditpools von Aave.
Der Vorfallbericht von Aave legte das Ausmaß der Exposition dar. Daten zeigen, dass der Angreifer 89.567 rsETH im Wert von etwa 221 Millionen US-Dollar als Sicherheit hinterlegt hat. Dagegen wurden 82.650 WETH und 821 wstETH geliehen. Diese Positionen weisen nun gefährlich niedrige Health-Faktoren auf, was die Wahrscheinlichkeit von Liquiditätsengpässen erhöht.
Aave skizzierte zwei mögliche Szenarien für die Verteilung der Verluste. Ein Szenario geht davon aus, dass die Verluste gleichmäßig auf alle rsETH-Inhaber verteilt werden. In diesem Modell würde eine Abkopplung von 15,12 % eintreten, was zu faulen Krediten in Höhe von etwa 123,7 Millionen US-Dollar führen würde. Ethereum würde den größten absoluten Verlust tragen, obwohl seine Liquiditätstiefe einen Großteil der Auswirkungen absorbieren könnte. Kleinere Netzwerke wie Mantle wären einem höheren proportionalen Druck ausgesetzt.
Ein alternatives Szenario geht davon aus, dass die Verluste auf Layer-2-Bereitstellungen beschränkt bleiben. In diesem Fall müssten die rsETH-Sicherheiten auf L2 einen Abschlag von 73,54 % hinnehmen. Die daraus resultierenden faulen Kredite könnten in Netzwerken wie Arbitrum, Base und Mantle auf 230,1 Millionen US-Dollar ansteigen. Dieses Ergebnis birgt eine größere lokale Belastung, lässt das Ethereum-Mainnet jedoch weitgehend unberührt.
Aaves Sicherheitsfonds in Höhe von 54 Millionen US-Dollar stößt an Grenzen, da die Folgen des Exploits zunehmen
Aave wies darauf hin, dass sein 54-Millionen-US-Dollar-WETH-Umbrellafonds im ersten Szenario als erste Puffer fungieren könnte. Diese Sicherung würde jedoch nicht gelten, wenn die Verluste auf Layer-2-Märkte beschränkt bleiben. Das endgültige Ergebnis hängt stark davon ab, wie Kelp DAO seine Buchhaltungs- und Oracle-Preis-Mechanismen anpasst.
Trotz der Unsicherheit befindet sich Aave in einer relativ soliden finanziellen Position. Der DAO hält derzeit Vermögenswerte in Höhe von etwa 181 Millionen US-Dollar. Er gab außerdem bekannt, Unterstützungszusagen von Ökosystemteilnehmern erhalten zu haben, falls Verluste tatsächlich eintreten sollten.
Die Aufmerksamkeit richtet sich nun auf die Koordination zwischen Kelp DAO, LayerZero und den betroffenen Protokollen. Klare Entscheidungen über die Verlustverteilung und Wiederherstellungsschritte werden die weiteren Auswirkungen bestimmen. Vorerst dient der Vorfall als eine weitere Erinnerung an die Risiken, die mit Cross-Chain-Infrastrukturen und konzentrierten Validierungssystemen verbunden sind.
Schreibe einen Kommentar