KelpDAO-Sicherheitslücke führt dazu, dass der Aave-Gesamtwert (TVL) nach dem Rückgang von 26,4 Mrd. USD am 18. April 2026 auf etwa 17 Mrd. USD am 21. April durch 0xngmi, den Gründer von DefiLlama, auf X offiziell auf die Vorwürfe reagiert, dass seine Aave-TVL-Daten durch zirkulierende Liquidität überhöht würden. Er erklärte, dass die ausgeliehenen Token-Beträge bereits vom TVL abgezogen worden seien.
Die Reaktion von DefiLlama 0xngmi und die Art der TVL-Berechnung
(Quelle: DefiLlama)
Laut dem Beitrag von 0xngmi auf X sagte er: „Ich sehe viele Meinungen, die davon ausgehen, dass das Aave-TVL von DefiLlama durch zirkulierendes Abspielen künstlich aufgebläht wird. Das stimmt nicht, denn ausgeliehene Token werden vom TVL abgezogen.“ 0xngmi führte dies weiter anhand eines Beispiels aus: Wenn Nutzer A 1 Mio. ETH einlegt, Nutzer B 1 Mio. stETH einlegt und 1 Mio. ETH ausleiht, beträgt das Netto-TVL 1 Mio. und nicht 2 Mio. oder 3 Mio. Er ergänzte: „Unsere TVL-Daten haben zirkulierende Liquidität bereits herausgerechnet. Ich weiß nicht, woher alle die Schlussfolgerung gezogen haben, dass es keine Herausrechnung gibt.“
Ethena als Ausnahme und Verbesserungsvorschläge von On-Chain-Forschern
Laut 0xngmi auf X hatte DefiLlama zuvor unabhängig herausgefunden, dass Ethena Sicherheiten bei Aave einlagert und Nutzer diese Sicherheiten dann zirkulierend weiterverwenden, was zu einer künstlichen Erhöhung des TVL führt. DefiLlama hat für diesen Fall eine eigene Ausnahme eingerichtet und die relevanten Einzahlungen von Ethena vollständig aus den Aave-TVL-Daten entfernt.
Der On-Chain-Datenforscher Karina wies in einem weiteren Beitrag auf X darauf hin, dass eine Datenplattform eine Ansicht hinzufügen kann, die den Anteil der zirkulierenden Liquidität am TVL der Kreditverträge zeigt. Bisher gibt es jedoch keine Belege dafür, dass die aktuellen Daten von DefiLlama einen Berechnungsfehler enthalten.
Chaos Labs kritisiert und Sicherheitsbekanntmachung von LayerZero
Laut dem Beitrag, den aixbt labs auf X veröffentlicht hat, erhebt Chaos Labs jährlich 2,4 Mio. USD als Aave-Risikomanagementgebühr. Allerdings wurde vor der Genehmigung des Listings von rsETH mit einem Loan-to-Value-Verhältnis (LTV) von 75% die 1/1-DVN-Konfiguration, die rsETH auf LayerZero betreibt, nicht verifiziert. In dem Beitrag heißt es, dass diese Nachlässigkeit zu etwa 236 Mio. USD an uneinbringlichen Forderungen geführt habe, und es wird unter Verweis auf Aave-Mitglieder der Governance mit 68% dazu aufgerufen, Chaos Labs zu prüfen oder zu ersetzen.
Laut dem Beitrag von aixbt labs ist der Bridge-Adapter-Code ein Standard-LayerZero-OFT-Template-Code. Das Problem liege in der Bereitstellungs-Konfiguration und nicht im eigentlichen Vertrag; die DVN-Konfigurations-Verifikation überschreite den üblichen Rahmen von Solidity-Audits. LayerZero kündigte daraufhin offiziell an, die Nachrichten-Signierung für Anwendungen zu beenden, die 1/1-DVN-Konfigurationen verwenden, und forderte alle Anwendungen auf, auf eine Konfiguration mit höchstens mehreren DVNs zu migrieren.
Häufige Fragen
Wie reagiert DefiLlama auf die Vorwürfe, dass das Aave-TVL über zirkulierende Liquidität überhöht wird?
Laut einer Erklärung des DefiLlama-Gründers 0xngmi auf X werden in der TVL-Berechnung die Beträge der ausgeliehenen Token bereits vom TVL abgezogen; DefiLlama hat außerdem für den besonderen Fall von Ethena eine maßgeschneiderte Ausnahme eingerichtet und die relevanten Einzahlungen vollständig aus den Aave-TVL-Daten entfernt; derzeit gibt es keine Belege dafür, dass ihre Daten fehlerhaft sind.
Wie stark ist das Aave-TVL nach der KelpDAO-Sicherheitslücke gefallen?
Laut DefiLlama-Daten ist das TVL von Aave von 26,4 Mrd. USD am 18. April 2026 (dem Tag der KelpDAO-Sicherheitslücke) auf beim Zeitpunkt des Verfassens des Artikels etwa 17 Mrd. USD gefallen, was einem Rückgang von rund 9,4 Mrd. USD entspricht.
Welche konkreten Kritikpunkte gibt es bei Chaos Labs nach der KelpDAO-Sicherheitslücke?
Laut dem Beitrag, den aixbt labs auf X veröffentlicht hat, wird Chaos Labs vorgeworfen, das Listing von rsETH mit einem 75%-LTV genehmigt zu haben, ohne die rsETH LayerZero 1/1-DVN-Konfiguration zu verifizieren. Der Beitrag bezeichnet diese Nachlässigkeit als Ursache für rund 236 Mio. USD an uneinbringlichen Forderungen und sagt außerdem, dass Mitglieder der Aave-Governance mit 68% dazu aufgerufen hätten, Chaos Labs zu prüfen oder zu ersetzen.
