DeFi-Angriff: Kelp-DAO-rsETH-Bridge verliert 292 Mio. US-Dollar – Aave indirekt betroffen

Am 19. April (Beijing-Zeit) erschütterte ein weiterer schwerer Sicherheitsvorfall den DeFi-Sektor. On-Chain-Daten zufolge wurde gegen 01:35 Uhr der rsETH-Bridge-Contract von Kelp DAO – dem zweitgrößten Liquid-Staking-Protokoll, das auf LayerZero aufsetzt – mutmaßlich kompromittiert. Dabei wurden 116.500 rsETH entwendet, Gegenwert rund 292 Mio. US-Dollar. Die Transaktionsspur zeigt: Etwa zehn Stunden vor dem Vorfall erhielt die mutmaßliche Angreiferadresse 1 ETH als Startkapital aus dem Mixer Tornado Cash. Anschließend rief die Adresse die Funktion lzReceive am LayerZero-Contract EndpointV2 auf. Dieser Aufruf löste im Kelp-Bridge-Contract eine Übertragung der 116.500 rsETH an eine zweite Angreiferadresse aus. Rund zweieinhalb Stunden nach dem Vorfall bestätigte Kelp DAO den Angriff auf X: Man habe verdächtige Cross-Chain-Aktivitäten rund um rsETH festgestellt und die rsETH-Contracts auf Mainnet sowie mehreren Layer-2-Netzwerken pausiert. Auditoren arbeiteten gemeinsam mit Sicherheitsexperten von LayerZero und Unichain an der Analyse; weitere Updates sollten über die offiziellen Kanäle folgen. In der Folge legten mehrere DeFi-Projekte und Security-Teams mögliche Ursachen dar. In der Community wurde besonders eine Analyse von D2 Finance zitiert: LayerZero Scan habe den Ursprung der Nachricht als Kelp DAO markiert, die Message sei demnach von Kelps regulär deploytem Endpoint-Contract ausgegangen, über denselben Pfad seien zuvor bereits 308 Message-Nonces registriert worden. Daraus leiteten Beobachter ab, dass die Wurzel des Angriffs in einem kompromittierten Private Key der Source-Chain liege. Steven Enamakel (TinyHumans AI) ergänzte, der betreffende Mechanismus sei nur durch ein 1/1-Validator-Set (DVN) abgesichert – eine einzelne fehlerhafte Validator-Transaktion könne ausreichen, um einen Schaden auszulösen. Aave als Ausstiegsroute, mögliches Bad Debt Da rsETH vergleichsweise geringe Marktliquidität aufweist, nutzte der Angreifer laut Monitoring-Daten Lending-Protokolle als Exit: rsETH wurde als Sicherheit hinterlegt, um wETH mit höherer Liquidität zu leihen. PeckShield Alert meldete, dass bis 04:30 Uhr rsETH aus dem Diebstahl u. a. bei Aave V3, Compound V3 und Euler eingezahlt wurde. Die daraus resultierende wETH-Verschuldung lag demnach bei über 236 Mio. US-Dollar – davon rund 196 Mio. US-Dollar auf Aave, 39,4 Mio. US-Dollar auf Compound und etwa 840.000 US-Dollar auf Euler. Aave fror daraufhin den rsETH-Markt auf Aave V3 und V4 ein. In einem Statement auf X betonte das Team, die Aave-Contracts seien nicht kompromittiert worden; der Vorfall stehe im Zusammenhang mit rsETH. Das Einfrieren solle neue rsETH-Einzahlungen und Beleihungen verhindern, während die Lage bewertet werde. Man prüfe zudem rsETH-Borrowings auf Aave, die nach dem Angriff stattgefunden hätten, und werde Details zeitnah veröffentlichen. Kurz darauf ergänzte Aave: Falls der Vorfall zu Bad Debt im Protokoll führe, werde man Wege prüfen, das Defizit zu decken. Wie hoch ein mögliches Bad Debt ausfällt, war zum Zeitpunkt der Veröffentlichung unklar. monetsupply.eth, Strategic Lead bei Spark (direkter Aave-Konkurrent), schätzte: Sollte rsETH mit einem Abschlag von 19% handeln (entsprechend 19% des gesamten rsETH-Angebots als gestohlen), könne Aave durch stark gehebeltes, zirkuläres Lending Bad Debt von über 100 Mio. US-Dollar drohen. Marc Zeller, Gründer der Aave Chan Initiative (ACI) und Governance-Vertreter im Aave-Ökosystem (er kündigte seinen Abschied im Juli wegen Governance-Differenzen an), bewertete die Lage zurückhaltender. Er riet Nutzern kurz nach Bekanntwerden, wETH aus Aave V3 zügig abzuziehen, um potenzielle Verluste zu vermeiden, und bestätigte, dass die USDC- und USDT-Märkte auf Aave nicht betroffen seien. Auf Spekulationen über Bad Debt in „Hunderten Millionen“ reagierte er mit: „Deutlich weniger als diese Zahl.“ Zugleich verwies Zeller darauf, dass nun der Praxistest für Umbrella anstehe. Umbrella ist Aaves automatisiertes Sicherheitsmodul und dient als Reserve zur Deckung möglicher Protokollverluste. Nutzer können Assets einzahlen und dafür höhere Incentives erhalten, tragen im Gegenzug aber auch das Risiko, bei Bad Debt herangezogen zu werden. Protokolldaten zufolge stehen in Umbrella aktuell rund 50 Mio. US-Dollar in WETH zur potenziellen Abfederung dieses Ereignisses bereit; ob das ausreicht, bleibt offen. Der Markt reagierte unmittelbar: AAVE fiel kurzfristig um nahezu 10% und notierte zum Zeitpunkt der Erstellung bei 104,6 USDT. April erneut geprägt von Großangriffen Es ist nicht der erste große Sicherheitsvorfall in diesem Monat. Am 1. April wurde das Solana-Derivateprotokoll Drift Protocol angegriffen; die Verluste wurden auf bis zu 280 Mio. US-Dollar beziffert. Drift machte dafür direkt „nordkoreanische Hacker“ verantwortlich. Tether und weitere Akteure stellten demnach 147,5 Mio. US-Dollar zur Kompensation in Aussicht. Nur gut zehn Tage später folgte nun ein noch größerer Vorfall. Viele Details sind weiterhin ungeklärt – ebenso die Frage, wie diese Attacke endet und wie belastbar Sicherheitsannahmen in DeFi noch sind. Neben wiederkehrenden Exploits verschärfen auch neue Bedrohungen durch KI-Systeme wie Mythos die Lage. Für Nutzer galt lange die Strategie, Kapital in gut auditierte Top-Protokolle zu bündeln. Dass nun selbst Aave indirekt betroffen ist, stellt dieses Sicherheitsgefühl infrage. Aus Risikoperspektive bietet es sich derzeit an, keine großen Summen dauerhaft on-chain zu parken. Wenn eine On-Chain-Nutzung erforderlich ist, sollten Positionen strikt diversifiziert und voneinander isoliert werden. Zum Veröffentlichungszeitpunkt waren zahlreiche Aspekte des Vorfalls weiterhin offen. Odaily will die Entwicklungen weiter verfolgen.