Ein Exploit beim Liquid-Restaking-Protokoll Kelp DAO hat bei der dezentralen Kreditplattform Aave eine beispiellose Kettenreaktion ausgelöst – mit Abzügen von rund 6,2 Milliarden US-Dollar offenbart der Vorfall die systemischen Schwachstellen der DeFi-Composability.
Kelp-DAO-Exploit löst Liquiditätskrise bei Aave aus – 6,2 Milliarden Dollar abgezogen
Angriff auf Kelp-DAO-Infrastruktur
Angreifer nutzten eine Sicherheitslücke in der mit Kelp DAO verbundenen Infrastruktur aus und entwendeten dabei Krypto-Assets im Wert von rund 291 Millionen US-Dollar. Kelp DAO ist ein Protokoll, das sogenanntes Liquid Restaking ermöglicht – Nutzer hinterlegen dabei Ethereum-basierte Assets, um durch mehrfaches Staking zusätzliche Erträge zu erzielen.
Der Exploit traf dabei nicht nur das Protokoll selbst, sondern strahlte unmittelbar auf Aave aus, wo Kelp-DAO-Token als Sicherheiten hinterlegt worden waren.
Panik und Massenabzüge bei Aave
Die Nachricht des Exploits veranlasste zahlreiche Aave-Nutzer dazu, ihre Einlagen schnellstmöglich abzuziehen. Das führte zu einem erheblichen Liquiditätsengpass: Wer Mittel aus dem Protokoll entnehmen wollte, stieß auf Verzögerungen oder konnte Transaktionen vorübergehend nicht abwickeln.
Solche Engpässe entstehen in DeFi-Protokollen, wenn die verfügbare Liquidität im Pool unter die nachgefragte Auszahlungsmenge sinkt – ein Mechanismus, der dem klassischen Bank-Run strukturell ähnelt.
Parallel dazu entstand sogenannte „Bad Debt” im Aave-Protokoll: Kredite, für die die ursprünglich hinterlegten Sicherheiten durch den Wertverlust der Kelp-DAO-Assets nicht mehr ausreichen, um die offenen Positionen zu decken. Die genaue Höhe der ungesicherten Verbindlichkeiten war zum Zeitpunkt der Berichterstattung noch nicht abschließend beziffert.
Systemische Risiken im DeFi-Ökosystem
Der Vorfall verdeutlicht ein strukturelles Problem dezentraler Finanzsysteme: Die Composability – also die Verschachtelung verschiedener Protokolle ineinander – ist einerseits ein zentrales Merkmal des DeFi-Ökosystems, andererseits ein Angriffsmultiplikator.
Ein einzelner Exploit kann über Sicherheiten, Liquiditätspools und Token-Abhängigkeiten hinweg mehrere Protokolle gleichzeitig destabilisieren.
Aave selbst gilt als eines der robusteren und besser auditierten Protokolle im Sektor. Dennoch konnte es sich dem Ansteckungseffekt nicht entziehen, da Kelp-DAO-bezogene Assets als Kollateral im System akzeptiert worden waren. Die Governance-Community von Aave leitete nach Bekanntwerden des Exploits Notfallmaßnahmen ein, darunter Anpassungen der Risikoparameter für betroffene Assets.
Einordnung für deutsche Unternehmen
Für Finanzverantwortliche und Treasurer in deutschen Unternehmen, die DeFi-Protokolle als Teil ihrer Liquiditäts- oder Ertragsstrategien in Betracht ziehen, liefert dieser Vorfall relevante Hinweise zur Risikostruktur:
- Die Vernetzung von Protokollen erhöht das Kontrahentenrisiko erheblich – auch dann, wenn das direkt genutzte Protokoll selbst keine Schwachstelle aufweist.
- Institutionelle DeFi-Exposure erfordert nicht nur die Prüfung des unmittelbar genutzten Smart Contracts, sondern auch eine Analyse der eingesetzten Kollateraltypen und ihrer Abhängigkeitsketten.
- Regulatorische Initiativen wie MiCA adressieren diese systemischen Risiken bislang nur am Rand – Unternehmen sind hier auf eigene Sorgfaltspflichten angewiesen.
Quelle: Decrypt.co