Aave: TVL schrumpft nach Kelp-Bridge-Hack um 6 Mrd. US-Dollar – DeFi-Kreditrisiken rücken in den Fokus

Beim DeFi-Kreditprotokoll Aave sind in kurzer Zeit rund 6,6 Mrd. US-Dollar an Kapital abgeflossen – nicht wegen eines Hacks bei Aave selbst, sondern als Reaktion auf ein externes Exploit. Der Total Value Locked (TVL) fiel laut DefiLlama von 26,4 Mrd. US-Dollar am 18. April auf knapp 20 Mrd. US-Dollar in den US-Morgenstunden am Sonntag. Der AAVE-Token gab um 16% auf 92 US-Dollar nach. Gleichzeitig stiegen die täglichen Gebühren auf 1,99 Mio. US-Dollar, nachdem Liquidationen das Wochenende geprägt hatten. Auslöser war ein Angriff auf die Cross-Chain-Bridge des Liquid-Restaking-Protokolls Kelp. Angreifer brachten die Bridge am Samstag dazu, 116.500 rsETH – im Gegenwert von etwa 292 Mio. US-Dollar – an eine von ihnen kontrollierte Adresse freizugeben. Die gestohlenen rsETH wurden anschließend auf Aave V3 als Sicherheit hinterlegt, um dagegen Wrapped Ether (WETH) zu leihen. Onchain-Tracker beziffern den Aave-spezifischen Kredit auf rund 196 Mio. US-Dollar; inklusive Positionen über Aave, Compound und Euler summieren sich die Beträge auf etwa 236 Mio. US-Dollar. Aave ist das größte Kreditprotokoll im DeFi-Sektor: Ein Teil der Nutzer hinterlegt Krypto-Assets, um Rendite zu erzielen, andere leihen dagegen Mittel gegen Sicherheiten. Kelp wiederum nutzt bereits auf Ethereum gestaktes Ether, leitet es über das Ertragssystem EigenLayer weiter und gibt dafür den Quittungstoken rsETH aus. Genau dieser rsETH wird gehandelt – und wurde von einigen Marktteilnehmern auch bei Aave als Collateral eingesetzt. Aave erklärte zunächst, die Umbrella-Reserve werde ein mögliches Defizit decken. Am Samstag wurde die Formulierung abgeschwächt; man wolle "Wege prüfen, um das Defizit auszugleichen". Für den Markt war das ein Signal, dass die endgültige Lücke und die Deckung noch nicht eindeutig sind. Warum die Auswirkungen bei Aave besonders sichtbar sind, liegt an der Struktur des Kreditbuchs. Zwar ist Aave auf 22 Chains aktiv, doch auf Ethereum entfallen 14,24 Mrd. US-Dollar der 17,82 Mrd. US-Dollar an ausstehenden Krediten. WETH macht 39,49% aller Darlehen auf dem Protokoll aus. Damit traf der Angriff genau die Collateral-zu-WETH-Kombination, die Aaves Kreditbuch dominiert. Aave-Gründer Stani Kulechov betonte, der Exploit sei extern gewesen, Aaves Smart Contracts seien nicht kompromittiert worden. Trotzdem akzeptierte das Protokoll einen Liquid-Restaking-Token als Sicherheit – und dessen wirtschaftliche Deckung verschwand infolge eines Bridge-Hacks, den Aave nicht kontrolliert. Für Einleger bleibt damit das Risiko: Liquid-Restaking-Tokens wurden bei den großen Kreditprotokollen breit zugelassen, weil sie Rendite abwerfen und einen wachsenden Anteil des auf Ethereum gebundenen Werts repräsentieren. Die Risikomodelle gingen typischerweise von einer stabilen Bindung unter normalen Marktbedingungen aus – nicht von einem Szenario, in dem ein Bridge-Exploit die Sicherheit faktisch auf null drückt. Trader Altcoin Sherpa schrieb auf X: "AAVE ist das Rückgrat von DeFi, dort stecken Milliarden drin, und praktisch jede neue DeFi-Infrastruktur auf neuen Chains ist ein Fork davon. Wenn AAVE Ansteckungsrisiken hat, zeigt das die Fragilität des gesamten Systems." Im Fokus steht nun, ob die Umbrella-Reserve groß genug ist, um die Lücke zu schließen – und ob die stkAAVE-Halter, die diese Reserve stützen, am Ende die Verluste tragen müssen.