coindesk.com
Aave hat gerade beobachtet, wie 6,6 Milliarden US-Dollar abgezogen wurden, und das liegt nicht daran, dass jemand Aave gehackt hat.
Der insgesamt im Protokoll gesperrte Wert sank von 26,4 Milliarden US-Dollar am 18. April auf fast 20 Milliarden US-Dollar in den US-Morgenstunden am Sonntag, laut DefiLlama. Der $AAVE-Token fiel um 16 % auf 92 US-Dollar, und die täglichen Gebühren stiegen auf 1,99 Millionen US-Dollar, da Liquidationen das Wochenende dominierten.
Einlagennehmer ziehen sich zurück, da Aave eine Lücke trägt, die es nicht verursacht hat. Als Angreifer am Samstag 116.500 rsETH von Kelps Brücke abgezogen hatten, setzten sie die gestohlenen Token als Sicherheiten auf Aave V3 ein und liehen sich Wrapped Ether dagegen aus.
On-Chain-Tracker beziffern die Aave-spezifischen Kredite auf etwa 196 Millionen US-Dollar, bei Gesamtpositionen über Aave, Compound und Euler von rund 236 Millionen US-Dollar.
Aave ist das größte Kreditprotokoll im DeFi-Bereich, bei dem Nutzer Kryptowährungen einzahlen, um Renditen zu erzielen, und andere Nutzer gegen Sicherheiten Kredite aufnehmen. Kelp ist ein liquiditätsbasiertes Restaking-Protokoll, das bereits auf Ethereum gestaktes Ether nimmt und es durch ein separates, renditegenerierendes System namens EigenLayer führt, wobei als Gegenleistung ein Empfangstoken namens rsETH ausgegeben wird.
Dieses rsETH ist das, was Nutzer handeln und, entscheidend, was einige Nutzer auf Aave als Sicherheit hinterlegt haben, um darauf basierend Kredite aufzunehmen.
Am Samstag, Angreifer täuschten die Cross-Chain-Brücke von Kelp und veranlassten die Freigabe von 116.500 rsETH im Wert von etwa 292 Millionen US-Dollar, an eine von ihnen kontrollierte Adresse. Anschließend hinterlegten sie das gestohlene rsETH als Sicherheiten auf Aave V3 und nahmen darauf basierend Wrapped Ether als Kredit auf.
Eine Bridge ist ein blockchainbasiertes Werkzeug, das Token zwischen verschiedenen Netzwerken überträgt, in denen sie ursprünglich möglicherweise nicht unterstützt werden.
Aave erklärte zunächst, die Umbrella-Reserve werde jedes Defizit ausgleichen. Am Samstagnachmittag wurde die Formulierung jedoch abgeschwächt zu "Möglichkeiten prüfen, um das Defizit auszugleichen." So spricht ein Protokoll nicht, wenn es genau weiß, wie viel es schuldet und das Geld hat, um es zu bezahlen.
Die Konzentration erklärt, warum der Schaden hier entsteht. Das Kreditportfolio von Aave erstreckt sich über 22 Chains, doch Ethereum allein hält 14,24 Milliarden US-Dollar von den insgesamt 17,82 Milliarden US-Dollar an ausstehenden Krediten. WETH macht 39,49 % aller Kredite im Protokoll aus, was bedeutet, dass der Angriff genau das Kollateral-zu-WETH-Paar getroffen hat, das das Aave-Portfolio dominiert.
Stani Kulechov, Gründer von Aave, erklärte, dass die Sicherheitslücke extern war und die Protokollverträge nicht kompromittiert wurden. Allerdings akzeptierte Aave ein liquides Restaking-Token als Sicherheit, dessen Deckung auf einer Brücke verschwand, die Aave nicht kontrolliert. Die Einleger erleiden in jedem Fall Verluste.
Liquid Restaking-Token wurden bei allen großen Kreditprotokollen freigeschaltet, da sie Renditen erzielten und einen wachsenden Anteil am gesperrten Wert von Ethereum repräsentierten.
Die Risikomodelle bewerteten sie so, als würden sie unter normalen Bedingungen an der Kursbindung festhalten. Keines von ihnen berücksichtigte jedoch ein Szenario, in dem die Sicherheiten auf null fallen, weil eine Brücke auf der Chain Aave, die nicht berührt wird, an einem Samstag ausgenutzt wurde.
"$AAVE ist das Rückgrat von DeFi, verwahrt Milliarden darin, und so gut wie jede neue DeFi-Infrastruktur auf neuen Chains ist ein Fork davon", schrieb der Händler Altcoin Sherpa auf X. "Wenn $AAVE ein Ansteckungsrisiko birgt, zeigt das die Fragilität des gesamten Systems."
Was der Tokenpreis jetzt zu beantworten versucht, ist, ob Umbrella groß genug ist, um das Loch zu stopfen, und ob stkAAVE-Inhaber, die diese Reserve stützen, den Verlust tragen müssen.