In der Welt der dezentralen Finanzen (DeFi) hat ein schwerwiegender Vorfall für Aufregung gesorgt: Ein Exploit beim Finanzprotokoll KelpDAO hat zu einem Diebstahl von rund 292 Millionen US-Dollar geführt. Die betroffenen Protokolle sind Aave, Arbitrum sowie zahlreiche Nutzer, die nun in großer Sorge um ihre Vermögenswerte sind. Die Hacker haben bereits begonnen, die gestohlenen Mittel zu verschleiern, was die Situation weiter verkompliziert.
Der Angriffsmechanismus basierte auf rsETH, einem Liquid-Restaking-Token von KelpDAO. Durch einen Bridge-Mechanismus wurden Übertragungen zwischen Blockchains ermöglicht. Die Angreifer erstellten gefälschte Transfernachrichten, wodurch Tokens nicht von der Quellchain abgezogen wurden. In einer dreisten Aktion wurden 116.500 rsETH ohne Deckung neu erzeugt und freigegeben. Die Schwachstelle lag in der Validierungslogik von KelpDAO, die auf LayerZero basierte. KelpDAO wies die Kritik an dieser Sicherheitslücke zurück und betonte, dass die Standardkonfiguration von LayerZero verwendet wurde.
Die Folgen für Aave und die Nutzer
In der Folge nutzte der Angreifer 89.567 rsETH als Sicherheit und lieh sich etwa 190 Millionen US-Dollar von Aave. Dies führt nun dazu, dass Aave vor potenziellen Verlusten durch sogenanntes „Bad Debt” steht. Um weiteren Schaden abzuwenden, hat Aave Labs die rsETH-Märkte eingefroren und die Loan-to-Value-Ratios auf null gesetzt. Zwei Szenarien zeichnen sich ab: Im ersten Szenario könnten die Verluste gleichmäßig auf alle rsETH-Inhaber verteilt werden, was einen geschätzten Verlust von ca. 123 Millionen USD zur Folge hätte. Im zweiten Szenario, das sich auf Layer-2-Netzwerke beschränkt, könnte der Verlust bis zu 230 Millionen USD betragen.
Für die Aave-DAO-Treasury stehen derzeit rund 181 Millionen US-Dollar an Vermögenswerten zur Verfügung, während nach dem Exploit etwa 6 Milliarden US-Dollar an Total Value Locked (TVL) abgezogen wurden. Auch Arbitrum hat reagiert und 30.766 ETH im Wert von rund 71,1 Millionen US-Dollar eingefroren, die in eine gesperrte Wallet überführt wurden. Diese Gelder sind nur durch eine Governance-Entscheidung bewegbar, um die Sicherheit der Nutzer zu gewährleisten.
Der Verdacht auf nordkoreanische Hacker
Vorläufige Erkenntnisse deuten auf eine mögliche Verbindung des Angriffs mit der nordkoreanischen Hackergruppe Lazarus hin. Die Hacker haben bereits begonnen, die gestohlenen Mittel durch Transfers in Höhe von 117 Millionen und 58 Millionen US-Dollar auf Ethereum zu waschen. Experten klassifizieren das Vorgehen als „Layering”-Phase der Geldwäsche, wobei Strategien wie die Nutzung von Thorchain und Umbra zur Anwendung kommen.
In dieser kritischen Lage stellt sich die Frage, wie die DeFi-Community auf solche Angriffe reagieren kann und welche Maßnahmen ergriffen werden sollten, um zukünftige Exploits zu verhindern. Das Vertrauen in dezentrale Finanzprotokolle könnte auf eine harte Probe gestellt werden, und es bleibt abzuwarten, welche Lehren aus diesem Vorfall gezogen werden. Die Sicherheit im DeFi-Bereich bleibt ein zentrales Thema, das nicht nur die Plattformbetreiber, sondern auch die Nutzer betrifft. In einer Branche, die von Innovation und Risiko geprägt ist, ist es unerlässlich, dass alle Beteiligten wachsam bleiben und sich an die Herausforderungen anpassen.