Der jüngste Exploit rund um Kelp DAOs rsETH erschüttert den ohnehin schon angeschlagenen DeFi-Markt. Nach aktuellem Stand wurden Vermögenswerte im Umfang von rund 292 Millionen US-Dollar gestohlen. Die Folgen reichen jedoch weit über Kelp hinaus. Der Total Value Locked auf Ethereum bricht in der Folge um über 15 Prozent ein, Aave verliert sogar ein Drittel seines Kapitals. rsETH war als Sicherheit dort tief in bestehende Hebelstrategien eingebunden. Beobachter befürchten weitgreifende Auswirkungen auf viele andere DeFi-Projekte. Doch was war überhaupt geschehen?
Lazarus schlägt wieder zu
LayerZero führt den Vorfall in seinem Bericht auf eine nordkoreanische Gruppe zurück, konkret auf die TraderTraitor-Untergruppe der Lazarus Group. Nach der bislang bekannten Darstellung wurde nicht das LayerZero-Protokoll selbst kompromittiert. Der Angriff soll vielmehr über die Infrastruktur gelaufen sein, die zur Verifikation von Nachrichten genutzt wurde. Im Mittelpunkt steht dabei ein 1/1-DVN-Setup, also eine Architektur, in der ein einzelner Verifizierungsweg ausreichte.
Hinzu kommt der technische Ablauf, der den Fall besonders heikel macht. Nach den bisher veröffentlichten Angaben verschafften sich die Angreifer Zugriff auf die Umgebung eines LayerZero-DVN, identifizierten die genutzten RPC-Endpunkte und kompromittierten anschließend mehrere dieser Server. Dort sollen manipulierte Versionen von op-geth installiert worden sein. Danach wurde laut LayerZero der primäre RPC per DDoS gestört, sodass das System auf einen kompromittierten Fallback wechselte. Erst dadurch konnte die schädliche Transaktion als legitim erscheinen. Wale zogen daraufhin ihr Kapital ab, wodurch viele Pools auf Aave auf 100-prozentige Auslastung in die Höhe schnellten, was dazu führt, dass Anleger ihre Gelder nicht mehr abziehen können.
Dass eine solche Angriffskette überhaupt möglich war, dürfte die Debatte über operative Risiken in DeFi neu entfachen. Denn der Fall zeigt, dass die größte Schwachstelle nicht zwingend im Smart Contract selbst liegen muss, sondern in der Infrastruktur, die die Vertrauenskette außerhalb der Chain absichert.
Aave im Kreuzfeuer
Für Aave wurde der Exploit deshalb zum Problem, weil rsETH stark im Protokoll verankert war. Noch wenige Tage vor dem Vorfall empfahlen die Risk Stewards auf dem Aave-Governance-Forum, den Supply Cap für rsETH auf Ethereum Core von 480.000 auf 530.000 Token anzuheben. Die Begründung lautete, es gebe anhaltende Nachfrage, korrelierte Sicherheiten und ausreichende On-Chain-Liquidität.
Diese Einschätzung passt zu einer Entwicklung, die sich seit Monaten abgezeichnet hatte. rsETH war auf Aave nicht einfach nur gelistet, sondern Teil eines Marktes, der auf gehebelte LST- und Restaking-Strategien zugeschnitten wurde. Frühere Governance-Beiträge verweisen ausdrücklich darauf, dass Nutzer rsETH rekursiv als Sicherheit hinterlegen und gegen WETH oder wstETH hebeln. Das galt wegen der hohen Korrelation lange als relativ kontrollierbares Risiko. Im jetzigen Fall hilft diese Annahme aber nur bedingt, weil der Schock nicht aus einem normalen Kursrückgang stammt, sondern aus einem Vertrauensbruch im Basis-Asset. Solange ein Asset als eng mit ETH gekoppelt gilt, wirken hohe Beleihungsgrenzen vernünftig. Wenn jedoch Zweifel an der technischen Integrität des Assets selbst aufkommen, kippt das gesamte Modell.
Der Fall trifft DeFi ins Mark
Der rsETH-Exploit zeigt, wie fragil das Versprechen maximaler Kapitaleffizienz sein kann. DeFi lebt davon, dass Assets parallel in mehreren Protokollen als Sicherheit, Liquiditätsbaustein oder Renditequelle genutzt werden. Genau diese Komposabilität gilt als Stärke. Im Krisenfall wird sie jedoch schnell zur Schwäche, weil ein technischer Fehler an einer Stelle sofort an anderer Stelle als Bilanzproblem auftaucht. Helius-CEO Mert Mumtaz kommentierte gewohnt humoristisch: “Ach, deshalb ist das traditionelle Finanzwesen so träge und hat all diese Zwischenhändler.”
Gerade bei Restaking- und Omnichain-Konstruktionen dürfte die Aufarbeitung noch länger dauern. Kelp selbst hatte erst vor wenigen Tagen in seinem Quartalsbericht hervorgehoben, dass die rsETH-Nachfrage auf Aave deutlich gestiegen sei und der Supply auf der Plattform rund 1,2 Milliarden US-Dollar erreicht habe. Das unterstreicht, wie wichtig Aave als Absatz- und Hebelmarkt für das Produkt geworden war. Umso größer ist nun der Schaden für das Vertrauen.
Für Aave stellt sich damit nicht nur eine technische, sondern auch eine Governance-Frage. Wenn ein Asset mit komplexer Cross-Chain-Architektur und wachsender Konzentration immer stärker skaliert wird, muss das Risikomodell auch den Fall abbilden, dass gerade diese Architektur versagt. Die Einschätzung, die vorhandene Liquidität und die Korrelation mit ETH reichten als Puffer aus, hat sich als falsch erwiesen.
Wie geht es jetzt weiter?
Entscheidend wird jetzt, wo die Verluste am Ende landen. Kelp muss entscheiden, ob die Verluste über alle rsETH-Halter sozialisiert werden oder ob einzelne Gruppen den Schaden tragen. Aave wiederum muss klären, wie groß das “Bad Debt” tatsächlich ist, also jener Teil der offenen Kredite, der nach dem Exploit nicht mehr durch verwertbare Sicherheiten gedeckt ist. Ein Teil davon könnte über Umbrella abgefedert werden. Das ist Aaves On-Chain-Sicherungsmechanismus, bei dem gestakte aTokens oder GHO im Defizitfall herangezogen werden, um Verluste im Protokoll automatisch auszugleichen. Reicht das nicht aus, bleibt der Druck auf Aave und die Governance bestehen.
Für andere Protokolle wird es vor allem dann ungemütlich, wenn sie rsETH, aETH, USDe oder darauf aufbauende Strategien direkt eingebunden haben. Dann drohen nicht nur Abschläge auf Sicherheiten, sondern auch Zweitrundeneffekte über Liquidationen, Refinanzierungsprobleme und neue Vertrauensabflüsse. Der Fall dürfte deshalb über Kelp und Aave hinaus Folgen haben. Restaking-Modelle, Omnichain-Setups und stark verschachtelte Earn-Produkte werden nun noch genauer darauf abgeklopft werden, wie belastbar ihre Sicherheitsannahmen im Stressfall tatsächlich sind.
DeFi in der Krise
Für Anleger wird das Risiko-Ertrags-Verhältnis in DeFi vor dem Hintergrund der jüngsten Sicherheitsvorfälle – erst vor Kurzem wurde Solana-Protokoll Drift Opfer eines Hacks – immer schlechter. Renditen wie bei US-Staatsanleihen stehen massive Sicherheitsrisiken gegenüber. Dieses dürfte sich künftig zudem weiter verschlechtern, wenn KI-Modelle wie Claude Mythos in die Hände von Cyberkriminellen gelangen.
Krypto-Enthusiasten sind in diesen Tagen also wohl besser damit beraten ihre Assets auf zentralisierten Börsen zu halten – oder idealerweise offline in einem Hardware-Wallet. Auch hier ist jedoch Vorsicht geboten, denn es sind unter anderem Fake-Ledger im Umlauf.
