In der Welt der dezentralen Finanzen (DeFi) sorgt ein massiver Exploit für Aufregung und einen dramatischen Rückgang des in DeFi gesperrten Wertes. Aave, eines der führenden Protokolle, hat kürzlich 160 Millionen US-Dollar eingesammelt, um 200 Millionen US-Dollar an faulen Schulden zu decken, die durch den größten DeFi-Exploit des Jahres verursacht wurden. Diese Rettungsaktion, die unter dem Titel „DeFi United“ bekannt ist, wird von Aave und mehreren großen Krypto-Unternehmen koordiniert, um das angeschlagene System zu stabilisieren und Verluste zu begrenzen.
Der Exploit ist auf eine Integrationsschwachstelle zwischen KelpDAO und LayerZero zurückzuführen. Hierbei konnten Angreifer 116.500 nicht gedeckte rsETH-Token minten und diese als gefälschtes Kollateral auf Aave verwenden, was zu einem schockierenden Verlust von etwa 195 Millionen US-Dollar in Form von faulen Krediten führte. Der gesamte in DeFi gesperrte Wert sank in nur 48 Stunden um satte 13 Milliarden US-Dollar, während Aave seine Position als größtes DeFi-Protokoll verlor und von einem TVL von 26,4 Milliarden US-Dollar auf 18,6 Milliarden US-Dollar fiel.
Die Dimension des Angriffs
Der Angriff, der am Samstag begann, führte zu einem regelrechten Ansturm auf die Einlagen bei Aave. Insgesamt wurden 10 Milliarden US-Dollar abgezogen, was sich in einer nahezu vollständigen Auslastung der USDT- und USDC-Pools mit über 5,1 Milliarden US-Dollar niederschlug. Trotz der massiven Kapitalabflüsse erlebten DeFi-Token wie AAVE, UNI und LINK nur moderate Preisrückgänge. Der Preis des AAVE-Tokens fiel um fast 20 % von 112 auf etwa 89,50 US-Dollar.
Die Analyse des Vorfalls zeigt, dass die Angreifer nicht direkt auf einen Smart-Contract-Fehler abzielten, sondern die Infrastruktur von LayerZero ins Visier nahmen. Diese Schwachstelle wurde auch mit der nordkoreanischen Lazarus-Gruppe in Verbindung gebracht. Der Vorfall ist zudem das erste große Stresstest für Aaves „Umbrella“-Sicherheitsmodell, das im Juni 2025 eingeführt wurde. In der Folge hat Aave entschieden, die Märkte für rsETH auf seinen v3- und v4-Plattformen sowie die WETH-Reserven über mehrere Netzwerke hinweg einzufrieren.
Die Reaktion der Gemeinschaft
Aave und andere Protokolle wie Curve Finance und Ethena haben ihre Nutzung der LayerZero-Brücke aus Sicherheitsgründen vorübergehend gestoppt. Die größte Sorge in der Gemeinschaft dreht sich um die faule Kreditvergabe, insbesondere im WETH-Pool von Aave, da die rsETH-Bestände vor dem Exploit auf fast 580.000 Token (1,3 Milliarden US-Dollar) wuchsen. Die Rückgänge im TVL sind nicht vollständig proportional zum Exploit, da ein Teil des Wertes aus recycelten Sicherheiten besteht, was auf die Problematik von Looping-Strategien hinweist, die zu einer Überbewertung des TVL geführt haben könnten.
Trotz der enormen Verluste gibt es Stimmen, die betonen, dass DeFi nicht tot ist. Historische Abflüsse von Einlagen haben in der Vergangenheit oft eine Rückkehr erlebt, sobald sich die Bedingungen stabilisierten. So konnte beispielsweise SparkLend eine Kapitalrotation verzeichnen, wobei der TVL von 1,8 Milliarden US-Dollar auf 2,9 Milliarden US-Dollar anstieg. Das aktuelle Geschehen dient als Weckruf für Entwickler, sicherere Systeme zu schaffen und realweltliche Anwendungsfälle anzubieten, um das Vertrauen in die DeFi-Welt zurückzugewinnen.
Die Ereignisse rund um den KelpDAO-Exploit sind nicht nur ein Zeichen für die Fragilität der aktuellen DeFi-Infrastruktur, sondern auch ein Aufruf zur Verbesserung der Sicherheitsmaßnahmen und zur Schaffung eines widerstandsfähigeren Ökosystems. Die Zeit wird zeigen, ob die Gemeinschaft aus diesen Erfahrungen lernt und in der Lage ist, die Herausforderungen zu meistern, die die Zukunft für DeFi bereithält.