DeFi-Angriff: 292 Mio. US-Dollar über Kelp-DAO-rsETH-Bridge entwendet, Aave indirekt betroffen

Am 19. April (Pekinger Zeit) hat ein weiterer schwerer Sicherheitsvorfall den DeFi-Sektor erschüttert. Onchain-Daten zufolge wurde gegen 1:35 Uhr die rsETH-Bridge von Kelp DAO, dem zweitgrößten Liquid-Staking-Protokoll, das auf LayerZero aufsetzt, mutmaßlich ausgenutzt. Dabei sollen 116.500 rsETH im Gegenwert von rund 292 Mio. US-Dollar abgezogen worden sein. Die Transaktionsspur zeigt: Etwa zehn Stunden vor dem Vorfall erhielt die mutmaßliche Angreiferadresse 1 ETH als Startfinanzierung aus dem Mixer-Protokoll Tornado Cash. Anschließend rief sie die Funktion lzReceive am LayerZero-Contract EndpointV2 auf. Dadurch wurde die Bridge von Kelp ausgelöst und transferierte 116.500 rsETH an eine weitere Angreiferadresse. Rund zweieinhalb Stunden später bestätigte Kelp DAO den Angriff auf X: Man habe verdächtige Crosschain-Aktivitäten im Zusammenhang mit rsETH festgestellt, die rsETH-Contracts auf Mainnet sowie mehreren Layer-2-Netzwerken pausiert und arbeite gemeinsam mit Auditoren sowie Sicherheitsteams von LayerZero und Unichain an der Aufklärung. In der Analyse wurde in der Community besonders häufig auf D2 Finance verwiesen. Demnach markierte LayerZero Scan den Remote-Endpoint als Kelp DAO; die Nachricht sei von einem legitimen, von Kelp selbst deployten Remote-Contract ausgegangen, auf diesem Pfad seien zuvor 308 Message-Nonces registriert worden. Daraus wird als wahrscheinliche Ursache eine Kompromittierung des Private Keys der Source Chain abgeleitet. Steven Enamakel (TinyHumans AI) ergänzte, dass der Contract nur durch ein 1/1-Validator-Set (DVN) abgesichert sei; eine einzelne fehlerhafte Validator-Transaktion könne bereits ausreichen, um Schäden auszulösen. Aave als Exit-Route: Gefahr von Bad Debt Da rsETH nur begrenzte Marktliquidität aufweist, wählte der Angreifer offenbar einen Ausstieg über Lending-Protokolle: rsETH wurde als Sicherheit hinterlegt, um WETH mit deutlich besserer Liquidität zu leihen. Laut PeckShield Alert waren bis 4:30 Uhr rsETH aus dem Diebstahl in Aave V3, Compound V3 und Euler eingezahlt; dagegen wurden große Mengen WETH aufgenommen. Die Gesamtschulden sollen über 236 Mio. US-Dollar liegen, davon entfallen rund 196 Mio. US-Dollar auf Aave, 39,4 Mio. US-Dollar auf Compound und etwa 840.000 US-Dollar auf Euler. Aave reagierte umgehend und fror den rsETH-Markt auf Aave V3 und V4 ein. Auf X stellte das Team klar, dass Aaves Verträge nicht kompromittiert wurden und der Vorfall rsETH betreffe. Das Einfrieren solle neue rsETH-Einzahlungen und darauf basierende Kreditaufnahmen verhindern, während die Lage geprüft werde. Zudem werde man rsETH-Borrowings auf Aave nach dem Angriff auswerten und zeitnah weitere Details teilen. Kurz darauf ergänzte Aave: Sollte der Vorfall zu Bad Debt im Protokoll führen, werde man Optionen prüfen, um die Lücke zu schließen. Wie hoch ein möglicher Fehlbetrag ausfällt, ist bislang offen. monetsupply.eth, Strategic Lead bei Spark (direkter Aave-Konkurrent), rechnete vor: Sollte rsETH mit einem Abschlag von 19% handeln (entsprechend dem gestohlenen Anteil an der gesamten rsETH-Umlaufmenge), könnten durch stark gehebeltes "Circular Lending" Bad Debts von über 100 Mio. US-Dollar entstehen. Marc Zeller, Gründer der Aave Chan Initiative (ACI) und Governance-Repräsentant im Aave-Ökosystem (er hat wegen Governance-Differenzen seinen Abgang im Juli angekündigt), bewertete das Risiko anders. Kurz nach dem Vorfall riet er, WETH vorsorglich aus Aave V3 abzuziehen, bestätigte aber, dass die USDC- und USDT-Märkte nicht betroffen seien. Spekulationen über Bad Debts in Höhe von mehreren hundert Millionen wies er mit den Worten zurück: "Deutlich weniger als diese Zahl." Zeller verwies zugleich darauf, dass nun der Härtetest für Umbrella anstehe. Umbrella ist Aaves automatisiertes Sicherheitsmodul und fungiert als Reservepool zur Deckung von Bad Debt: Nutzer können Assets einzahlen und höhere Anreize erhalten, tragen im Gegenzug aber potenzielle Verluste, falls das Protokoll Fehlbeträge erleidet. Protokolldaten zufolge stehen derzeit rund 50 Mio. US-Dollar in WETH innerhalb von Umbrella zur Verfügung, um mögliche Verluste aus diesem Ereignis abzufedern; ob das ausreicht, ist unklar. Im Zuge der Nachricht gab AAVE kurzfristig um fast 10% nach und notierte zum Zeitpunkt der Veröffentlichung bei 104,6 USDT. Zweiter Großvorfall im April Es ist nicht der erste schwere Sicherheitsvorfall in diesem Monat. Am 1. April wurde das Derivate-Handelsprotokoll Drift Protocol im Solana-Ökosystem angegriffen; die Verluste sollen bis zu 280 Mio. US-Dollar betragen haben. Drift machte anschließend "nordkoreanische Hacker" verantwortlich. Immerhin sagten Institutionen wie Tether 147,5 Mio. US-Dollar an Kompensation zu, was Betroffenen zumindest eine Chance auf Teilrückflüsse eröffnete. Nur gut zehn Tage später folgt nun ein noch größerer Vorfall. Wie er endet, ist offen. Zugleich verschärft sich der Eindruck, dass DeFi-Sicherheitsrisiken zunehmen: Auf der einen Seite häufen sich Hacks, auf der anderen Seite wachsen Bedrohungen durch KI-Systeme wie Mythos. Für DeFi-Nutzer galt lange als pragmatische Antwort, Kapital auf gut auditierte, etablierte Top-Protokolle zu konzentrieren. Doch selbst Aave, ein Protokoll, das Retail-Nutzer selten als Risikofaktor sehen, wurde hier indirekt getroffen. Aus heutiger Sicht erscheint es nicht ratsam, große Beträge dauerhaft onchain zu halten. Wenn es notwendig ist, sollten Positionen breit diversifiziert und voneinander isoliert werden. Zum Zeitpunkt der Veröffentlichung sind viele Details noch ungeklärt. Weitere Updates hängen von den laufenden Untersuchungen ab.