Aave ringt nach KelpDAO-rsETH-Exploit mit Liquiditätsengpass und bis zu 200 Mio. US-Dollar faulen Krediten

Aave, eines der größten DeFi-Kreditprotokolle, steht nach einem Angriff auf die rsETH-Bridge von KelpDAO unter massivem Druck. Angreifer entwendeten am 18. April 2026 insgesamt 116.500 rsETH, hinterlegten die Token anschließend auf Aave V3 als Sicherheit und liehen sich dagegen Wrapped Ether (WETH). Nachdem KelpDAO die rsETH-Verträge als Reaktion auf den Vorfall pausierte, verlor die hinterlegte Sicherheit faktisch ihren Wert. Die betroffenen Kreditpositionen ließen sich damit nicht mehr sinnvoll liquidieren – Aave blieb auf erheblichen Ausfällen sitzen. Der Umfang der faulen Kredite wird auf rund 177 bis 200 Mio. US-Dollar geschätzt. Weitere, kleinere Exposures sollen auch bei Compound und Euler bestehen; insgesamt wird das entliehene Volumen im Zusammenhang mit dem Ereignis auf bis zu 200 Mio. US-Dollar oder mehr beziffert. Aave betonte, dass die eigenen Smart Contracts nicht kompromittiert wurden. Über den X-Account hieß es, Aaves Verträge seien nicht ausgenutzt worden, der Vorfall stehe im Zusammenhang mit rsETH. Aave reagierte mit Notfallmaßnahmen: Die rsETH-Märkte wurden auf Aave V3 und V4 eingefroren, die Beleihbarkeit des Assets entfernt und die Loan-to-Value-Werte in den betroffenen Deployments auf null gesetzt. Gründer Stani Kulechov erklärte, rsETH sei als Maßnahme nach dem außerhalb von Aave erfolgten KelpDAO-Bridge-Exploit eingefroren worden; sowohl Aave V3 als auch V4 hätten keine weitere rsETH-Exponierung. Trotz des Einfrierens setzte eine Abzugswelle ein. Auszahlungen in ETH und WETH sollen innerhalb weniger Stunden auf etwa 5,4 Mrd. US-Dollar gestiegen sein. In der Folge erreichte der WETH-Pool laut mehreren Berichten eine Auslastung von 100%. Bei voller Auslastung steht im Pool keine freie Liquidität mehr zur Verfügung, wodurch Rücknahmen durch Einzahler nicht mehr funktionieren, solange nahezu das gesamte Kapital von Kreditnehmern gebunden ist. Auch Stablecoin-Märkte gerieten unter Spannung. Zwar hätten USDC- und USDT-Reserven keine direkte rsETH-Exponierung, der breite Kapitalabzug trieb die Auslastung in einzelnen Stablecoin-Deployments nach oben. Nutzer meldeten fehlgeschlagene oder verzögerte Abhebungen, als die verfügbare Liquidität abnahm. Der Total Value Locked (TVL) von Aave fiel laut DefiLlama von rund 26,4 Mrd. US-Dollar auf 19,776 Mrd. US-Dollar. Das entspricht einem Rückgang um 24,11% bis zum 19. April. Der AAVE-Token verlor am selben Tag laut Marktdaten 17,7%, während Anleger die Unsicherheit über potenzielle Kreditausfälle und die Folgen einer möglichen Aktivierung von "Umbrella" einpreisten. Umbrella ist Aaves integrierter Backstop für genau solche Ereignisse. Wird der Ausfallbestand bestätigt, kann das System Reserven heranziehen und je nach Lage auch ein Slashing von gestaktem AAVE vorsehen, um die Lücke zu schließen. Welche Auswirkungen sich daraus für Einzahler ergeben, ist noch offen. Protokolle mit Verbindungen zu überlappenden Liquiditätspools, darunter Sparklend, meldeten laut Berichten teils sprunghaft steigende Zinssätze und temporäre Pausen, während Kapital aus den betroffenen Märkten abwanderte. Bis zum 19. April wurden keine weiteren Exploits oder eine Ausweitung des Vorfalls bekannt. Die Auslastung im ETH-Markt bleibt erhöht; vollständige Abhebungen hängen davon ab, ob sich die Lage beruhigt oder Umbrella die Ausfälle bereinigt und das Vertrauen in die Reserven wiederherstellt. Im Fokus stehen nun die abschließende Prüfung der faulen Kredite, eine formelle Umbrella-Entscheidung und die Beobachtung, ob sich die Abflüsse stabilisieren, sobald der Markt die Folgen des KelpDAO-Vorfalls vollständig verarbeitet hat.