DeFi United sichert sich 160 Millionen Dollar, während die Branche Maßnahmen zur Bewältigung der Aave-Forderungsausfallkrise ergreift

• Aave fror die rsETH-Reserven innerhalb weniger Stunden nach dem Kelp-DAO-Exploit am 18. April ein, der zu Forderungsausfällen in Höhe von bis zu 230,1 Millionen US-Dollar führte.
• DeFi United sammelte bis zum 25. April 160 Millionen US-Dollar, wobei Mantle und Aave DAO zusammen 55.000 ETH zusagten.
• Die Governance-Abstimmungen über den Beitrag von 25.000 ETH durch Aave DAO laufen derzeit, während das Protokoll daran arbeitet, die rsETH-Deckung vollständig wiederherzustellen.

DeFi United sammelt 160 Mio. US-Dollar zur Absicherung von Aave

Der Angriff begann um 17:35 UTC, bei Ethereum-Block 24.908.285. Die Angreifer nahmen die Layerzero-V2-Brücke von Kelp DAO auf der Unichain-zu-Ethereum-rsETH-Route ins Visier, die als 1-of-1-DVN ohne zusätzliche Verifizierer konfiguriert war. Sie reichten ein gefälschtes eingehendes Paket ein, das 116.500 ungedeckte rsETH-Token im Wert von damals rund 292 Millionen US-Dollar schuf, ohne dass eine entsprechende Sperrung oder Verbrennung auf der Quellkette erfolgte.

Der Angreifer handelte schnell. Etwa 89.567 rsETH im Wert von rund 221 Millionen US-Dollar wurden als Sicherheiten auf verschiedenen Aave-V3-Märkten auf Ethereum und Arbitrum hinterlegt. Der Angreifer lieh sich daraufhin rund 82.650 WETH im Wert von etwa 191 Millionen US-Dollar sowie kleinere Beträge an wstETH.

Die Positionen wiesen Health-Faktoren zwischen 1,01 und 1,03 auf, was eine vollständige Rückzahlung unwahrscheinlich machte. Die Smart Contracts von Aave wurden nicht ausgenutzt. Die Forderungsausfälle stammten vollständig aus den ungedeckten externen Sicherheiten. Der Protocol Guardian von Aave reagierte innerhalb weniger Stunden. Bis etwa 19:00 Uhr UTC am 18. April wurden alle rsETH- und wrsETH-Reserven in allen V3-Implementierungen eingefroren, die Beleihungsquoten auf Null gesetzt und die Zinsmodelle angepasst, um den Liquiditätsdruck zu bewältigen. Aave Labs und der Risikomanager Llamarisk veröffentlichten am 20. April einen offiziellen Vorfallsbericht. Der Bericht modellierte zwei Verlustszenarien, je nachdem, wie Kelp DAO das Defizit verteilt. Im ersten Szenario führt ein einheitlicher Haircut für alle rsETH-Inhaber zu etwa 123,7 Millionen US-Dollar an Forderungsausfällen bei Aave. Im zweiten Szenario führen Verluste, die auf L2-rsETH-Inhaber beschränkt sind, zu etwa 230,1 Millionen US-Dollar an Forderungsausfällen, wobei Mantle und Arbitrum das größte Risiko tragen. Andere Schätzungen bezifferten das Gesamtrisiko von Aave auf 196 bis 200 Millionen US-Dollar.

Der Markt reagierte heftig. Der Gesamtwert der bei Aave gebundenen Mittel (TVL) sank in den Tagen nach dem Vorfall auf 6 bis 9 Milliarden US-Dollar. Der Kurs von AAVE fiel unmittelbar danach um 10 % bis 22 %. Die TVL-Verluste im gesamten DeFi-Bereich beliefen sich einigen Berichten zufolge auf über 13 Milliarden US-Dollar.

Um die Folgen einzudämmen, riefen die Aave-Dienstleister „DeFi United“ ins Leben, einen Multi-Protokoll-Hilfsfonds, der Beiträge an defiunited.eth, Ethereum-Adresse 0x0fCa5194baA59a362a835031d9C4A25970effE68, weiterleitet. Der Fonds zielt auf das rsETH-Defizit ab, das zunächst auf 68.900 bis über 100.000 ETH geschätzt wurde, abhängig von Rückflüssen und den endgültigen Zahlen zu den Forderungsausfällen. Am Samstag bestätigte Arkham Intelligence, dass DeFi United 160 Millionen US-Dollar aufgebracht hatte. Mantle und Aave DAO steuerten gemeinsam 55.000 ETH bei, was etwa 127 Millionen US-Dollar des Gesamtbetrags ausmachte. Mantle schlug bis zu 30.000 ETH vor, strukturiert als dreijährige Kreditfazilität zum Lido-Staking-Ertrag plus 1 %. Aave DAO hat 25.000 ETH aus seiner Kasse vorgeschlagen, wobei die Abstimmung im Governance-Prozess noch läuft. Aave-Gründer und CEO Stani Kulechov stellte 5.000 ETH aus persönlichen Mitteln zur Verfügung. Ether.fi hat 5.000 ETH zugesagt. Lido DAO bot bis zu 2.500 stETH an. Zu den kleineren Spendern zählen die Golem Foundation mit 1.000 ETH, Aave-Vizepräsident Emilio Frangella mit 500 ETH sowie Community-Spenden von mehr als 272 ETH, die in der Blockchain verzeichnet sind. Ethena, Layerzero, Ink Foundation, Frax und Tydro leisteten ebenfalls Unterstützung.

Der Arbitrum Security Council fror einen Teil der Gelder des Angreifers ein, wodurch sich die Netto-Lücke verringerte, die der Fonds decken muss. Ein nachfolgendes böswilliges Paket über 40.000 rsETH wurde von Kelp rückgängig gemacht und wiederhergestellt, bevor es verarbeitet werden konnte.

DeFi United wird von den Teilnehmern als eine der größten koordinierten Wiederherstellungsmaßnahmen in der Geschichte der DeFi beschrieben. Die Governance-Abstimmungen über ausstehende Beiträge laufen weiter, und der Fonds nimmt weiterhin Spenden entgegen, während das Protokoll daran arbeitet, die volle rsETH-Deckung wiederherzustellen und verbleibende Forderungsausfälle zu bereinigen.