Kelp-DAO-Bridge-Exploit führt zu $293M Mint und hinterlässt Aave mit mehr als $200M uneinbringlichen Forderungen

Gate-News-Mitteilung, 19. April — Am 18. April um 17:35 UTC nutzte ein Angreifer eine Schwachstelle in der layerZero-gestützten plattformübergreifenden Bridge von Kelp DAO aus und gab 116.500 rsETH (ungefähr $293 Millionen und rund 18% des im Umlauf befindlichen Token-Angebots) an eine vom Angreifer kontrollierte Wallet frei, ohne dass eine entsprechende ETH gesperrt wurde. Anschließend deponierte der Angreifer das unbesicherte rsETH bei Aave V3 und V4 als Sicherheiten und lieh echtes gewrapped Ether (WETH) dagegen. Als das Notfall-Multisig von Kelp das Protokoll 46 Minuten später einfroste, war das WETH bereits abgezogen.

Die Schwachstelle in der Bridge ermöglichte es dem Angreifer, eine maßgeschneiderte Nachricht zu übermitteln, die die Prüfungen zur Verifizierung bestand, obwohl es auf der Quellkette keine tatsächliche Einzahlung gab. Zwei weitere Versuche um 18:26 und 18:28 UTC, um jeweils zusätzlich 40.000 rsETH abzuziehen, wurden rückgängig gemacht, nachdem die Pause aktiviert worden war.

Aave weist nun zwischen $177 Millionen und $236 Millionen an uneinbringlichen Forderungen auf, konzentriert in dem rsETH/WETH-Paar auf Ethereum. Der Gesamtwert, der bei der Plattform gesperrt ist (TVL), sank ungefähr $6 Milliarden, die WETH-Markt-Auslastung erreichte 100% (und verhinderte weitere Auszahlungen), und der AAVE-Token fiel um über 18%. Der Versicherungsfonds für Umbrella von Aave hält etwa $50 Millionen und lässt damit eine erhebliche Lücke. Die Kreditpositionen sind praktisch nicht liquidierbar, da rsETH-Sicherheiten nicht eingelöst werden können und nicht nahe am Peg gehandelt werden, sobald die unbesicherte Emission vollständig als solche erkannt wird.

SparkLend, Fluid und Upshift pausierten oder froren rsETH innerhalb von Stunden ein; die isolierte Marktarchitektur von Morpho begrenzte das Risiko auf etwa $1 Millionen über zwei Märkte. rsETH über mehr als 20 Ketten hinweg ist nun bis zur Veröffentlichung eines Abgleichs der Reserven gegen das ausstehende Angebot durch Kelp mit Unsicherheit bezüglich der Deckung konfrontiert. Dieser Exploit markiert den größten DeFi-Vorfall des Jahres 2026; die kumulierten DeFi-Verluste für das Jahr belaufen sich auf zwischen $450 Millionen und $482 Millionen über etwa 45 Protokolle.