Am 18. April 2026 nutzten Angreifer eine Schwachstelle in der Bridge-Infrastruktur von KelpDAO aus – und lösten damit eine Kettenreaktion aus, die das DeFi-Protokoll Aave in eine der schwersten Liquiditätskrisen seiner Geschichte stürzte. Das Paradoxe daran: Aaves eigene Smart Contracts wurden zu keinem Zeitpunkt kompromittiert. Trotzdem waren innerhalb weniger Stunden rund 5,4 Milliarden US-Dollar aus dem Protokoll abgeflossen.
Die Angreifer verschafften sich über die KelpDAO-Bridge Zugang zu 116.500 rsETH-Token. Diese deponierten sie als Sicherheit auf Aave V3 und liehen sich dagegen Wrapped Ether (WETH) aus dem Protokoll. Als KelpDAO unmittelbar nach dem Vorfall die rsETH-Verträge einfrierte, wurden die hinterlegten Sicherheiten schlagartig wertlos – eine reguläre Liquidierung der Kreditpositionen war nicht mehr möglich. Was blieb, waren notleidende Forderungen in Aaves WETH-Reserven. Verschiedene On-Chain-Analysten schätzen den Gesamtschaden bei Aave sowie kleineren Engagements bei den Protokollen Compound und Euler auf bis zu 200 Millionen US-Dollar.
Das Aave-Team handelte zügig: Die rsETH-Märkte auf V3 und V4 wurden eingefroren, die Kreditaufnahmefähigkeit für rsETH als Sicherheit aufgehoben, die Beleihungsquoten auf null gesetzt. Gründer Stani Kulechov bestätigte öffentlich, dass das Protokoll selbst kein weiteres rsETH-Exposure trägt. Die Botschaft war klar: Aave wurde nicht gehackt. Aber sie kam zu spät, um die Panik zu stoppen.
Contagion ohne direkten Angriff
Hier liegt der entscheidende Punkt für DeFi-Nutzer und Beobachter: Aave wurde nicht angegriffen – und traf die Krise trotzdem mit voller Wucht. DeFi-Protokolle akzeptieren externe Token als Sicherheit und schaffen damit eine direkte Abhängigkeit von der Qualität und Sicherheit dieser Assets. Sobald ein externes Protokoll wie KelpDAO in Schwierigkeiten gerät, kann das in Sekundenschnelle auf jeden Kreditmarkt durchschlagen, der dieses Asset als Sicherheit nutzt. Diese Form der Ansteckung – Contagion ohne direkten Exploit – ist in der DeFi-Welt kein Einzelfall. Sie ist ein Systemproblem.
Die Panikabflüsse trieben den WETH-Pool auf Aave in die vollständige Auslastung. Ein Aave-Pool kann Auszahlungen nur aus ungenutzter Liquidität bedienen. Wenn Kreditnehmer nahezu das gesamte Kapital halten, gibt es nichts mehr auszuzahlen – Lieferanten kommen vorübergehend nicht an ihre Einlagen. Auch Stablecoin-Pools gerieten unter Druck, obwohl sie keinerlei direktes rsETH-Engagement hatten. Der Total Value Locked von Aave fiel innerhalb weniger Stunden von rund 26,4 Milliarden auf knapp 19,8 Milliarden US-Dollar – ein Rückgang von über 24 Prozent.
Was das für DeFi bedeutet
Für genau solche Szenarien hat Aave das sogenannte Umbrella-System entwickelt – einen protokollinternen Backstop-Mechanismus. Bestätigen sich die Forderungsausfälle, kann Umbrella auf Reserven zurückgreifen. Je nach Ausmaß des Defizits kann der Mechanismus auch ein Slashing gestakter AAVE-Token beinhalten. Der Vorfall wirft damit grundlegende Fragen zur Risikoarchitektur dezentraler Protokolle auf: Wie viel Vertrauen darf ein Kreditprotokoll in externe Sicherheiten setzen? Welche Governance-Mechanismen braucht es, um ein Asset schnell genug auszuschließen, bevor ein Exploit zur Systemkrise wird? Aave hat in diesem Fall funktioniert – die eigenen Verträge hielten. Aber das Protokoll zeigt, dass in einem vernetzten DeFi-Ökosystem die Sicherheit eines Protokolls nur so stark ist wie das schwächste Asset, das es akzeptiert.
Raphael Lulay ist Herausgeber und Redakteur von boersen-parkett.de. Er verfügt über einen akademischen Hintergrund in Politik, Soziologie und Verwaltung (B.A.) und berichtet seit 2018 über Kryptowährungen, Bitcoin, Altcoins und digitale Kapitalmärkte. Neben seiner Tätigkeit auf boersen-parkett.de veröffentlicht er regelmäßig Beiträge auf Block-Builders.de und Bitcoin-2Go.de. Zuvor schrieb er auch für Finanzpublikationen wie Fonds Finanz und das B.MAG Bankenmagazin. Sein Fokus liegt auf der datenbasierten Einordnung von Marktbewegungen, Kapitalflüssen, Regulierung und Krypto-Trends für Anleger. E-Mail: [email protected]
Boersen-Parkett bei Google als bevorzugte Nachrichtenquelle markieren und keine Finanz- und Krypto-News mehr verpassen.