Dieser Artikel wurde erstmals auf The Bit Journal veröffentlicht. Ein schwerwiegender Exploit beim DeFi-Protokoll Kelp DAO hat Schockwellen durch das Krypto-Lending-Ökosystem geschickt und könnte auch Plattformen wie Aave erheblich betreffen.
Am Wochenende griffen Hacker Kelp DAO an und entwendeten dabei schätzungsweise 116.500 restaked Ether (rsETH) im Wert von fast 293 Millionen US-Dollar. Der Angriff erfolgte durch eine Schwachstelle in der mit LayerZero verbundenen Infrastruktur. Die gestohlenen Vermögenswerte wurden anschließend als Sicherheit auf Aave V3 genutzt, wodurch die Angreifer Wrapped Ether (wETH) ausleihen konnten. Dies erhöhte das finanzielle Risiko innerhalb der eng verknüpften DeFi-Systeme erheblich.
Kelp DAO-Verluste breiten sich über Netzwerke aus
Das Risikomodellierungsunternehmen LlamaRisk hat inzwischen zwei mögliche Szenarien beschrieben, die die Auswirkungen der entstehenden notleidenden Schulden (Bad Debt) aus dem Kelp DAO-Exploit auf das gesamte Ökosystem bestimmen könnten.
Update on rsETH incident:@LlamaRisk has published a report outlining the rsETH incident, the immediate actions taken, its impact on Aave, and potential paths forward.
All service providers have been working to assess the two potential bad debt scenarios on the Aave protocol.…
— Aave (@aave) April 20, 2026
Im ersten Szenario würden sich die Verluste auf alle rsETH-Inhaber sowohl im Ethereum-Mainnet als auch in Layer-2-Netzwerken verteilen. Dadurch würde das Risiko für Aave auf geschätzte 123,7 Millionen US-Dollar an Bad Debt sinken, allerdings könnte es dennoch zu einer Entkopplung (De-Pegging) von rund 15 % zwischen rsETH und Ether kommen. Analysten gehen davon aus, dass Wrapped Ether den Großteil der Verluste in Dollarwert absorbieren könnte, jedoch dürfte der Effekt durch hohe Liquiditätsreserven teilweise abgefedert werden.
Auch die internen Schutzmechanismen von Aave könnten zum Einsatz kommen. Das sogenannte Umbrella-Sicherheitssystem könnte genutzt werden, um Teile des Schadens im Zusammenhang mit dem Restaking-Protokoll zu begrenzen. Besonders relevant ist dabei, dass sich rund 43,7 Millionen US-Dollar an Aave-Wrapped Ether (aWETH) bereits in einer Unstaking-Cooldown-Phase befinden, wodurch zusätzliche Stabilisierungsmittel verfügbar werden könnten.
Extremszenario zeigt systemisches DeFi-Risiko
Das zweite, deutlich kritischere Szenario würde den gesamten finanziellen Schaden auf Ethereum-Layer-2-Netzwerke wie Arbitrum und Mantle konzentrieren. In diesem Fall könnte das Bad Debt von Aave auf rund 230,1 Millionen US-Dollar steigen und erheblichen systemischen Stress in diesen Netzwerken auslösen.
Trotz der Unsicherheiten rund um Kelp DAO verfügt Aave möglicherweise über finanzielle Puffer. Berichten zufolge hält das Protokoll etwa 181 Millionen US-Dollar in seiner Treasury, die im Ernstfall zur Deckung von Verlusten eingesetzt werden könnten.
Kelp DAO bewertet Auswirkungen nach dem Angriff
Kelp DAO teilte inzwischen mit, dass das Team weiterhin die finanziellen Gesamtauswirkungen untersucht und eng mit Partnern wie Aave und LayerZero zusammenarbeitet, um den sichersten Weg für eine Wiederaufnahme des Betriebs nach dem Exploit zu finden.
Weitere Details zeigen, dass der Angriff auf einer komplexen Manipulation der Integration zwischen Kelp DAO und der LayerZero-Bridge basierte. Zwei Validator-Knoten wurden kompromittiert, während ein dritter durch einen DDoS-Angriff gestört wurde. Dadurch konnte der Angreifer eine scheinbar gültige Transaktionsnachricht erzeugen, was zur unrechtmäßigen Prägung von rsETH führte.
— Kelp (@KelpDAO) April 20, 2026
Kelp DAO pausiert Verträge nach Exploit
Als Reaktion darauf pausierte Kelp DAO umgehend alle betroffenen Smart Contracts auf Ethereum sowie den Layer-2-Netzwerken. Zudem wurden Wallets der Angreifer auf eine Blacklist gesetzt, wodurch eine weitere mögliche Entwendung von rund 40.000 rsETH im Wert von etwa 95 Millionen US-Dollar verhindert werden konnte.
Der Vorfall verdeutlicht eine lang bekannte Schwäche im DeFi-Sektor: die starke Vernetzung der Protokolle. Wenn eine einzelne Komponente – insbesondere in Cross-Chain-Bridges – kompromittiert wird, können sich die Auswirkungen schnell auf Liquidität, Abhebungen und die Stabilität des gesamten Ökosystems ausweiten.
Fazit
Der Kelp DAO Exploit zeigt die zunehmenden systemischen Risiken im dezentralen Finanzwesen, in dem eng verknüpfte Plattformen anfällig für Kaskadeneffekte sind. Während Aave und andere Akteure die Schäden weiter bewerten, dürfte der Vorfall die Aufmerksamkeit erneut auf Cross-Chain-Infrastruktur und Risikomanagement im gesamten DeFi-Sektor lenken.
Folgen Sie uns auf Twitter und LinkedIn und treten Sie unserem Telegram-Kanal bei, um sofort über aktuelle Nachrichten informiert zu werden!
Kurzfassung
- Hacker erbeuten 293 Mio. US-Dollar über LayerZero-Schwachstelle bei Kelp DAO, Aave ist betroffen.
- Mögliche Aave-Verluste liegen zwischen 123,7 Mio. und 230,1 Mio. US-Dollar.
- Kelp DAO pausiert Verträge und untersucht den Vorfall gemeinsam mit Partnern.
Glossar
- Kelp DAO: DeFi-Restaking-Protokoll
- Aave: DeFi-Kreditplattform
- rsETH: Restaked Ether Token von Kelp DAO
- LayerZero: Cross-Chain-Messaging-Protokoll
Referenz
Disclaimer
Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Finanz-, Anlage- oder Handelsberatung dar. Kryptowährungen sind hochriskant und volatil. Leser sollten vor Investitionen eigene Recherchen durchführen und einen qualifizierten Finanzexperten konsultieren.
