KelpDAO verliert 292 Mio. US-Dollar durch Hack – Aave-Abzüge über 5,4 Mrd. US-Dollar verschärfen DeFi-Sicherheitskrise

BlockBeats zufolge ist die Multichain-Liquid-Staking-Plattform KelpDAO am 19. April in den frühen Morgenstunden angegriffen worden. Der Angreifer zog 116.500 rsETH über KelpDAOs LayerZero-basierten Cross-Chain-Bridge ab – umgerechnet rund 292 Mio. US-Dollar. Damit handelt es sich bislang um den größten DeFi-Sicherheitsvorfall des Jahres 2026. Rund 46 Minuten später reagierte KelpDAO mit einem Notstopp: Die Multisig wurde pausiert, zentrale Komponenten eingefroren – darunter LRT-Deposit-Pools, Auszahlungs-Contracts, Oracles und der rsETH-Token. KelpDAO erklärte, man habe ungewöhnliche Cross-Chain-Aktivitäten im Zusammenhang mit rsETH festgestellt, betroffene Verträge auf Mainnet sowie mehreren L2s ausgesetzt und arbeite mit LayerZero und weiteren Partnern an einer Ursachenanalyse. Zwei weitere Abhebeversuche des Angreifers scheiterten. Nach Angaben aus dem Umfeld hätte ein zusätzlicher Transfer von 40.000 rsETH (rund 100 Mio. US-Dollar) den Gesamtschaden auf etwa 391 Mio. US-Dollar erhöhen können. In der Folge nutzte der Angreifer die rsETH-Bestände, um über mehrere Kreditprotokolle – darunter Aave, Compound, Euler und Fluid – Kredite aufzunehmen. Dadurch entstanden auf mehreren Plattformen faule Forderungen. Bei Aave belaufen sich die Bad Debts auf etwa 177 Mio. US-Dollar, bei Compound auf rund 39,4 Mio. US-Dollar, bei Euler auf etwa 840.000 US-Dollar. Aave traf es am stärksten. Das Protokoll teilte mit, die rsETH-Märkte in V3 und V4 eingefroren zu haben, und betonte, es gehe um das Asset rsETH selbst und nicht um eine Schwachstelle in den Smart Contracts von Aave. Aktuell prüfe man die nach dem Vorfall entstandenen Kreditpositionen; sollte es zu Bad Debt kommen, werde man "Wege prüfen, um die Lücke zu schließen". Der KelpDAO-Angreifer hinterlegte den Großteil der erbeuteten rsETH bei Aave als Sicherheit, um ETH zu leihen; ein kleinerer Teil wurde direkt gegen ETH verkauft. Insgesamt erlangte der Hacker über Besicherung und Verkäufe 106.466 ETH (rund 250 Mio. US-Dollar). Die Risikolage löste eine Abzugswelle bei Aave aus: Nach den großvolumigen ETH-Krediten gegen illegal gemintete rsETH wurden laut Bericht Vermögenswerte von mehr als 5,4 Mrd. US-Dollar eilig abgezogen. Darunter soll Justin Sun 65.584 ETH (154 Mio. US-Dollar) abgezogen haben. Die Auslastungsquote von ETH auf Aave erreichte zwischenzeitlich 100%. Curve-Gründer Michael Egorov kommentierte: "Dieses Ereignis zeigt die Risiken des weit verbreiteten ‘nicht isolierten Lending’-Modells. Es ist sehr skalierbar, aber riskanter – Risikomanagement ist entscheidend. Das Hub-and-Spoke-Modell von Aave v4 könnte ein Schritt zu einem teilisolierten, sichereren Ansatz sein." Der Krypto-KOL benmo.eth schrieb, der rsETH-Diebstahl bei KelpDAO habe weitreichende Folgen: Er erschüttere die Wahrnehmung einer unantastbaren Sicherheit bei Aave und zwinge große Wallets, Risiken im einheitlichen Kreditmarkt neu zu bewerten. Aave V4 und modulares Lending könnten dadurch an Bedeutung gewinnen und den Übergang beschleunigen. DeFi werde sich von Expansion hin zu einem konservativeren Sicherheitsmodell bewegen müssen und zudem KI-getriebene Bedrohungen wie Anthropic Mythos stärker adressieren. Ryan Sean Adams, Mitgründer von Bankless, schrieb: "Die Häufigkeit von Krypto-Hacks hat ein Allzeithoch erreicht. Ich glaube, das hängt mit KI zusammen. KI gibt Hackern ‘dunkle Superkräfte’. Die Abwehr muss so schnell wie möglich nachziehen – uns läuft die Zeit davon."