Am 18. April 2026 wurde die KelpDAO LayerZero-Brücke Opfer eines gewaltigen Sicherheitsangriffs. Dabei gelang es einem Angreifer, 116.500 rsETH zu prägen, ohne die entsprechenden Token zu verbrennen, was zu ungesicherten Token führte. Diese rsETH wurden als Sicherheit bei Aave v3 genutzt, um $ETH zu leihen und zu staken. Der Vorfall hinterließ eine Forderungslücke bei Aave, die auf etwa 163.183 $ETH geschätzt wird – ein Betrag, der mehrere hundert Millionen Dollar entspricht. Diese Situation hat nicht nur Aave, sondern die gesamte DeFi-Landschaft in Aufruhr versetzt.
Die Reaktionen ließen nicht lange auf sich warten. Aave hat in Zusammenarbeit mit „DeFi United“, einer Initiative, die Beiträge von großen DeFi-Protokollen, Stiftungen und Einzelpersonen bündelt, einen Plan zur Wiederherstellung der KelpDAO-rsETH-Deckung veröffentlicht. Bislang wurden bereits mehr als 43.500 $ETH zugesagt, mit Berichten über Unterstützung in Höhe von rund 69.589 $ETH. Zu den Partnern dieser Initiative zählen unter anderem Lido DAO, EtherFi und die Golem Foundation. Aave DAO hat zudem vorgeschlagen, 25.000 $ETH aus der eigenen Kasse in die Sanierungsstruktur zu überweisen.
Wiederherstellungsplan für rsETH
Der Wiederherstellungsplan von DeFi United zielt darauf ab, die besicherte Deckung für rsETH wiederherzustellen und kaskadierende Liquidationen zu verhindern. Der Plan sieht vor, dass die betroffenen Token in verschiedenen Phasen in rsETH umgewandelt werden, um die Liquiditätslücke zu schließen. Die geschätzte Defizit ist nach teilweisen Rückflüssen und Zusagen auf rund 75.081 $ETH gesunken. Um dieses Ziel zu erreichen, müssen jedoch mehrere Governance-Prozesse sowohl bei Aave als auch bei der Arbitrum DAO durchlaufen werden. Diese Prozesse sind entscheidend, damit die notwendigen Mittel zur Verfügung stehen und die Märkte sich stabilisieren können.
Eine besondere Herausforderung stellt die Anforderung dar, die rsETH-Preise vorübergehend anzupassen, um kontrollierte Liquidationen zu ermöglichen. Da die betroffenen Positionen auf Aave Ethereum Core und Aave Arbitrum verteilt sind, werden bis zu acht Positionen gezielt angegangen, um etwa 13.000 ETH zurückzugewinnen. Die wiederhergestellten Sicherheiten werden in einem verwalteten Multisig gehalten, wobei KelpDAO die Möglichkeit hat, diese gegen ETH einzulösen.
Die Sicherheitslage in DeFi
Der Vorfall wirft einmal mehr ein Schlaglicht auf die Sicherheitsrisiken, mit denen DeFi-Protokolle konfrontiert sind. Hacker suchen ständig nach Schwachstellen, und die Sicherheitsrisiken sind vielfältig: von Code-Schwachstellen bis hin zu operativen Bedrohungen und externen Abhängigkeiten. Ein zentraler Aspekt ist die Sicherheit der Smart Contracts, die bei unsachgemäßer Implementierung zu erheblichen Verlusten führen kann. Daher sind robuste Sicherheitspraktiken, einschließlich gründlicher Tests und externer Audits, unerlässlich.
Zusätzlich zu den technischen Risiken sind auch operative Risiken nicht zu unterschätzen. Die Kompromittierung privater Schlüssel kann unbefugten Zugriff ermöglichen, was durch sichere Schlüsselverwaltung, etwa durch Hardware-Wallets, gemildert werden kann. Auch externe Abhängigkeiten, wie die Nutzung von Orakeln, können potenzielle Schwachstellen darstellen. Eine Auswahl zuverlässiger Partner und die kontinuierliche Überwachung dieser Beziehungen sind entscheidend für die Stabilität und Sicherheit des gesamten Ökosystems.
Zusammenfassend lässt sich sagen, dass die Wiederherstellung der rsETH-Besicherung nicht nur eine technische Herausforderung darstellt, sondern auch das Vertrauen in die DeFi-Plattformen auf die Probe stellt. Die kommenden Wochen werden entscheidend sein, um zu sehen, ob die geplanten Maßnahmen erfolgreich umgesetzt werden können und ob sich die Märkte stabilisieren. Der Vorfall ist ein eindringlicher Hinweis darauf, wie wichtig es ist, Sicherheitsstandards in der DeFi-Welt kontinuierlich zu verbessern und zu gewährleisten.