Der Hack bei KelpDAO löste einen systemischen Schock im Aave-Protokoll aus

Eine kritische Sicherheitslücke in der Bridge-Infrastruktur des KelpDAO-Protokolls hat zu einem der größten Liquiditätsschocks in der Geschichte der DeFi geführt. Der Angreifer nutzte eine Schwachstelle aus, um 116.500 gefälschte rsETH-Token zu generieren, was etwa 18 % des Gesamtangebots entspricht.

Diese ungedeckten Vermögenswerte mit einem Marktwert von 292 Millionen US-Dollar wurden anschließend als Sicherheit in das Aave-Protokoll eingezahlt. Dies ermöglichte es dem Angreifer, Zugriff auf echte Vermögenswerte in Form von ETH, wETH und Stablecoins zu erlangen, die sofort aus dem System abgezogen wurden.

Die einfache Logik „gefälschte Token für echtes Geld“ löste eine sofortige Kettenreaktion aus. Es kam zu einem massiven „Bankensturm“, als Investoren versuchten, ihre Gelder zu retten, bevor dem System das verfügbare Bargeld ausging.

Große institutionelle Akteure, darunter die MEXC-Börse und Justin Sun, begannen in Panik, ihre Vermögenswerte abzuziehen. Dies führte zu einem Liquiditätsabfluss aus Aave von über 6 Milliarden US-Dollar an einem einzigen Tag.

Diese raschen Abhebungen ließen die Auslastungsrate der Kernpools – ETH, USDT und USDC – auf kritische 100 % steigen. Zu diesem Zeitpunkt kam das System praktisch zum Stillstand, und normale Nutzer konnten ihre Einlagen nicht mehr abheben.

In dem Versuch, zumindest auf einen Teil ihrer Vermögenswerte zuzugreifen, griffen die Nutzer zu einer kostspieligen Notlösung. Sie begannen, ihr eigenes Geld gegen ihre eingefrorenen Einlagen zu leihen, nur um an liquide Mittel zu gelangen.

Dieses Phänomen führte zu einem ungewöhnlichen Anstieg des Kreditvolumens um 300 Millionen US-Dollar. Analysten weisen darauf hin, dass dies kein Zeichen für eine gesunde Kreditnachfrage war, sondern ein klarer Indikator für eine Krise, in der Nutzer im Grunde genommen Zinsen zahlen, um auf ihre eigenen Ersparnisse zugreifen zu können.

Aufgrund von Loan-to-Value-Grenzen (LTV) von etwa 75 % konnten Nutzer nur einen Teil ihres Vermögenswerts als Kredit aufnehmen. In dieser verzweifelten Suche nach Liquidität mussten sie sofortige Verluste zwischen 10 % und 25 % hinnehmen.

Die systemische Lähmung griff nach und nach auf andere Märkte über. Die Liquidität in den Pools für Stablecoins wie DAI, GHO und USDe versiegte, sodass diese auf verschiedenen DeFi-Märkten gänzlich nicht mehr verfügbar waren.

Obwohl die Smart Contracts von Aave nicht direkt kompromittiert wurden, waren die Folgewirkungen des KelpDAO-Angriffs verheerend. Aave reagierte mit einer sofortigen Sperrung der rsETH-Märkte in den Versionen V3 und V4, um eine weitere Ausnutzung des Systems zu verhindern.

Der gesamte Vorfall bleibt eine Mahnung an die Risiken, die mit der gegenseitigen Abhängigkeit von DeFi-Protokollen verbunden sind. Ein Ausfall an einer einzigen Stelle kann innerhalb weniger Stunden ein gesamtes Ökosystem lahmlegen und Nutzer dazu zwingen, einen extrem hohen Preis zu zahlen, um ihr eigenes Kapital zu retten.