Der KelpDAO‑Exploit von April 2026 und seine Folgen für Aave
Am 18. April 2026 wurden durch eine manipulierte Cross‑Chain‑Nachricht 116.500 rsETH (≈292 Mio. Aaves Smart Contracts wurden nicht gehackt; das Problem entstand durch unbesicherte Token aus einer Bridge‑Fehlkonfiguration, die als Kollateral akzeptiert wurden.
What happened in the April 2026 KelpDAO exploit that led Aave to incur major bad debt and lose 44% of its TVL, how did the attackers use stoThe April 2026 KelpDAO exploit showed how vulnerabilities in cross‑chain bridges can cascade into major DeFi lending protocols.
KI-Prompt
Create a landscape editorial hero image for this Studio Global article: What happened in the April 2026 KelpDAO exploit that led Aave to incur major bad debt and lose 44% of its TVL, how did the attackers use sto. Article summary: The April 2026 incident was not an Aave smart-contract hack; it was a KelpDAO rsETH bridge failure that let an attacker create/release unbacked rsETH, then use it as collateral on Aave V3 to borrow real WETH/ETH, leaving. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "# Aave’s TVL Tanks $6.6 Billion as Kelp DAO Hack Sparks Bad Debt and Structural Fears. After the Kelp DAO exploit, the attacker used $292 million in stolen rsETH as collateral on A" source context "Aave’s TVL Tanks $6.6 Billion as Kelp DAO Hack Sparks Bad Debt and Structural Fears - Unchained" Reference image 2:
openai.com
Überblick
Im April 2026 erlebte der DeFi‑Sektor einen der größten Sicherheitsvorfälle des Jahres. Eine Schwachstelle in der Cross‑Chain‑Bridge von KelpDAO für den Token rsETH ermöglichte es Angreifern, hunderte Millionen Dollar an Token zu erzeugen, ohne dass dafür echtes Ether hinterlegt war.
Diese Token wurden anschließend als Sicherheit auf Lending‑Protokollen – insbesondere Aave V3 – hinterlegt, um echte Vermögenswerte wie Wrapped Ether (WETH) zu leihen.
Die Folge war ein massiver Liquiditätsschock: Aave blieb auf hohen Forderungsausfällen sitzen, während das Total Value Locked (TVL) des Protokolls innerhalb eines Monats um etwa 44 % von rund 26,6 Mrd. $ auf etwa 14,8 Mrd. $ fiel.
Wichtig: Aave selbst wurde nicht gehackt. Die Ursache lag in kompromittiertem Kollateral, das über eine Bridge‑Fehlfunktion in das Protokoll gelangte.
Was beim KelpDAO‑Exploit passierte
Der Angriff ereignete sich am 18. April 2026. Ein Angreifer nutzte eine Fehlkonfiguration in KelpDAOs Bridge, die auf der Cross‑Chain‑Messaging‑Technologie von LayerZero basiert.
Eine wurde akzeptiert.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Wie lautet die kurze Antwort auf „Der KelpDAO‑Exploit von April 2026 und seine Folgen für Aave“?
Am 18. April 2026 wurden durch eine manipulierte Cross‑Chain‑Nachricht 116.500 rsETH (≈292 Mio.
Was sind die wichtigsten Punkte, die zuerst validiert werden müssen?
Am 18. April 2026 wurden durch eine manipulierte Cross‑Chain‑Nachricht 116.500 rsETH (≈292 Mio. Aaves Smart Contracts wurden nicht gehackt; das Problem entstand durch unbesicherte Token aus einer Bridge‑Fehlkonfiguration, die als Kollateral akzeptiert wurden.
Was soll ich als nächstes in der Praxis tun?
Etwa 13.000 ETH wurden durch Liquidationen zurückgewonnen, während rund 30.766 ETH weiterhin durch Arbitrum‑Governance eingefroren sind.
Dadurch konnten 116.500 rsETH freigegeben oder geprägt werden – im Wert von etwa 292–294 Millionen Dollar.
Diese Menge entsprach rund 18 % des gesamten rsETH‑Umlaufs zu diesem Zeitpunkt.
Der Kern des Problems lag in der Bridge‑Konfiguration: Sie nutzte lediglich einen einzigen Verifizierer (1‑of‑1 DVN) für die Nachrichtenbestätigung.
Da auf der Ursprungs‑Chain kein echtes ETH gesperrt oder verbrannt wurde, waren die neu freigegebenen Tokens faktisch unbesichert – wirkten für externe Protokolle zunächst jedoch legitim.
Der Angriff dauerte weniger als eine Stunde, bevor Notfall‑Mechanismen aktiviert wurden.
Wie der Angreifer Aave‑Liquidität abzog
Der Angreifer verkaufte die Tokens nicht sofort. Stattdessen nutzte er die Mechanik von DeFi‑Lending‑Märkten.
1. Hinterlegen von rsETH als Kollateral
Große Mengen der gestohlenen Token wurden in Aave‑V3‑Pools eingezahlt. Insgesamt landeten schätzungsweise rund 89.000 rsETH auf Aave.
2. Leihen echter Assets
Auf Basis dieses scheinbar wertvollen Kollaterals lieh sich der Angreifer echte Vermögenswerte wie WETH und andere ETH‑basierte Tokens.
3. Umwandlung in liquide ETH
Bevor die Märkte reagieren konnten, wurden über 236 Millionen Dollar in WETH und ähnlichen Assets ausgeliehen.
Damit wurde ein Bridge‑Exploit effektiv zu einem realen Liquiditätsabfluss aus Lending‑Protokollen.
Als klar wurde, dass das rsETH‑Kollateral nicht vollständig gedeckt war, blieb Aave auf erheblichen Forderungsausfällen sitzen – geschätzt zwischen etwa 177 Mio. und 200 Mio. Dollar.
Sofortige Auswirkungen auf Aave und den DeFi‑Markt
Die Folgen zeigten sich innerhalb weniger Stunden.
Die WETH‑Pools auf Aave erreichten nahezu 100 % Auslastung, weil Liquidität schnell abgezogen wurde.
Milliardenbeträge wurden aus Aave‑Pools abgezogen, da Nutzer Verluste befürchteten.
Auch andere DeFi‑Protokolle verzeichneten starke Kapitalabflüsse.
Über mehrere Wochen hinweg fiel das Aave‑TVL drastisch: von rund 26,6 Mrd. $ auf etwa 14,8 Mrd. $, ein Rückgang um rund 44 %.
Beobachter verglichen die Situation mit einem Bank‑Run im DeFi‑System, obwohl die Smart Contracts des Protokolls selbst nicht kompromittiert waren.
Aaves Notfallmaßnahmen
Aave‑Governance und Risk‑Manager reagierten schnell.
Einfrieren riskanter Märkte
Innerhalb weniger Stunden:
rsETH‑ und wrsETH‑Märkte wurden auf allen Aave‑V3‑Deployments eingefroren.
Loan‑to‑Value‑Parameter wurden effektiv auf null gesetzt, um neue Kredite zu stoppen.
Kurz darauf wurden auch WETH‑Borrowing‑Märkte auf mehreren Netzwerken eingeschränkt, um weitere Liquiditätsabflüsse zu verhindern.
Liquidation der Angreifer‑Positionen
Als Teil des Recovery‑Plans liquidierte Aave verbleibende Positionen des Angreifers.
Dabei wurden etwa 13.000 ETH (≈30 Mio. $) freigesetzt.
Diese Assets wurden an eine Recovery‑Guardian‑Multisig‑Wallet übertragen, die von der Initiative DeFi United verwaltet wird.
Wiederherstellung des Normalbetriebs
Nach Stabilisierung der Märkte lockerte Aave schrittweise die Einschränkungen.
Am 18. Mai 2026 wurden:
die WETH‑Loan‑to‑Value‑Parameter wieder auf Vorkrisenniveau gesetzt, und
WETH‑Borrowing auf wichtigen Deployments wie Ethereum Core, Ethereum Prime, Arbitrum, Base, Mantle und Linea wieder aktiviert.
Das galt als wichtiger Schritt zur Wiederherstellung des Marktvertrauens.
Wie viel Geld zurückgeholt wurde – und was eingefroren bleibt
Die finanzielle Aufarbeitung des Angriffs ist komplex.
Zurückgewonnene Mittel
Rund 13.000 ETH (≈30 Mio. $) wurden durch Liquidationen der Angreifer‑Positionen zurückgeholt.
Eingefrorene Mittel
Der Arbitrum Security Council fror etwa 30.766 ETH (≈71 Mio. $) ein, die mit dem Exploit verbunden sind.
Die Gelder wurden in eine Zwischen‑Wallet verschoben, die nur über Governance‑Beschlüsse zugänglich ist.
Gerichtliche Verfahren haben die Freigabe dieser Mittel bislang verzögert.
Selbst nach den Liquidationen bestand weiterhin eine Deckungslücke von etwa 10 % im rsETH‑Backing, was das Ausmaß des ursprünglichen Bridge‑Fehlers zeigt.
Warum dieser Exploit für DeFi so wichtig ist
Der Vorfall hat mehrere strukturelle Risiken im DeFi‑Ökosystem sichtbar gemacht.
Risiko von Bridge‑Konfigurationen
Die Schwachstelle lag nicht direkt in LayerZero selbst, sondern in der Art, wie die Bridge konfiguriert war. Ein einzelner Verifizierer konnte eine gefälschte Nachricht bestätigen.
Kollateral‑Ansteckung
Der Vorfall zeigte, wie schnell sich Risiken über Protokolle hinweg ausbreiten können, wenn ein Token in vielen Systemen als Sicherheit akzeptiert wird.
Aave funktionierte technisch korrekt – erlitt aber dennoch Verluste, weil das Kollateral plötzlich wertlos wurde.
Bank‑Run‑Dynamik in DeFi
Die schnellen Abhebungen machten deutlich, dass Vertrauensschocks selbst große Protokolle destabilisieren können.
Änderungen im Risikomanagement
Im gesamten DeFi‑Sektor verstärkte der Vorfall die Forderungen nach:
strengeren Kriterien für Kollateral‑Listings
niedrigeren Supply‑Caps
robusteren Cross‑Chain‑Verifizierungen
Circuit‑Breakern für Bridge‑ oder Restaking‑Assets
Fazit
Der KelpDAO‑Exploit im April 2026 zeigt eine zentrale Lektion für DeFi: Die Sicherheit eines Protokolls hängt nicht nur von seinem Code ab, sondern auch von der Qualität der akzeptierten Sicherheiten.
Aaves Smart Contracts blieben intakt. Dennoch führten 292 Millionen Dollar an unbesichertem rsETH im Lending‑System zu massiven Liquiditätsproblemen, hohen Forderungsausfällen und einem der größten TVL‑Rückgänge in der Geschichte des DeFi‑Sektors.
Der Vorfall gilt inzwischen als Lehrbeispiel für Bridge‑Risiken und systemische Ansteckung zwischen DeFi‑Protokollen.
cryptotimes.io
Who Bears the KelpDAO rsETH Losses — Aave, rsETH Holders, or ...
Comments
0 comments