coindesk.com
Dezentrale Finanzen (DeFi) erholen sich von einer Reihe raffinierter Angriffe, die eine intensive Debatte darüber ausgelöst haben, ob öffentliche Blockchain-Protokolle tatsächlich systemische Risiken bewältigen können.
Die Krise erreichte im April 2026 ihren Höhepunkt, mit der 292-Millionen-Dollar-Exploit der von LayerZero unterstützten Brücke von KelpDAO löste eine verheerende aus8,45 Milliarden US-Dollar Einlagenabzug bei Aave, der weltweit größten dezentralen Kreditplattform. Die massiven Abhebungen erfolgten innerhalb von 48 Stunden.
Stani Kulechov, Gründer und CEO von Aave Labs, verteidigte bei der Proof of Talk-Veranstaltung in Paris letzte Woche die mathematische Überlegenheit von Aave gegenüber der traditionellen Finanzwelt. Anstatt die operationellen Misserfolge einer multi-millionenschweren Liquiditätskrise, die beinahe die Insolvenzsicherungen von Aave zerstört hätte, anzusprechen, lenkte Kulechov die Diskussion darauf, den massiven Kapitalabfluss als empirischen Beweis für die „Resilienz“ des Netzwerks darzustellen.
"Die bestehende V3-Infrastruktur von Aave hat bereits mehrere Marktzyklen durchlaufen“, sagte er und fügte hinzu, dass „Aave in wirklich turbulenten Zeiten eine bemerkenswerte Widerstandsfähigkeit gezeigt habe.“
Eine genauere Betrachtung der Krise im April zeigt jedoch, dass das Überleben von Aave weniger auf einem fehlerlosen autonomen Design beruhte, sondern vielmehr auf einem chaotischen, von Menschen geführten 300 Millionen US-Dollar Notfallrettung. Die Notfallwiederherstellungsmaßnahme erforderte ein Engagement von 25.000 $ETH seitens der Aave DAO sowie einen persönlichen Beitrag von 5.000 $ETH (8,4 Millionen US-Dollar) von Kulechov selbst, um eine Katastrophe abzuwenden.
Die Schuld abweisen
Kulechov trennte den Kerncode des Smart Contracts von den externen Infrastrukturausfällen, die den breiteren Markt beeinträchtigten.
Wenn es auch um die Entwicklung geht ... gibt es tatsächlich nur sehr wenige, beziehungsweise keinerlei Probleme in den Smart Contracts der DeFi-Protokolle im Allgemeinen", so Kulechov. "Tatsächlich handelt es sich um Abhängigkeiten von Drittanbietern, die mit eher traditionellen Sicherheitsaspekten zusammenhängen und Auswirkungen auf den gesamten DeFi-Bereich haben könnten, wie wir kürzlich festgestellt haben.
Obwohl technisch präzise, begann der Hack im April mit einem RPC-Spoofing- und DDoS-Angriff, der auf die Verifier-Knoten von LayerZero bei KelpDAO abzielte und nicht mit einem Fehler im Aave-Code zusammenhing. Risikoanalysten erklärten, dass Kulechovs Verteidigungsstrategie eine härtere Realität umgeht.
Blockchain-Risikomodellierungsunternehmen LlamaRisk enthüllte später dass die Hacker die Schwachstelle ausnutzten, um wertlose Sicherheiten zu prägen, diese bei Aave einzuzahlen und authentisches Wrapped Ether (wETH) abzuziehen, wodurch Aave V3 mit geschätzten 123,7 Millionen US-Dollar an faulen Forderungen belastet wurde. Darüber hinaus analysieren Bankenexperten bei dem Bank Policy Institute wies darauf hin dass die unzureichende Versicherung von Aave aufzeigte, wie DeFi-Plattformen zugunsten ihrer Nutzer für Bank Runs anfällig sind.
Fahrplan für V4
Kulechov räumte ein, dass die strukturelle Gefahr einer Ansteckung eine umfassende Überarbeitung erfordert. Um zukünftige Brückenausfälle, die systemische Auszahlungswellen auslösen könnten, zu verhindern, stellte er fest, dass Aave Labs sein bevorstehendes V4-Upgrade nutzt, um sein Risikomanagement grundlegend neu zu gestalten.
Kulechov erklärte, dass Aave Labs sein bevorstehendes V4-Technologie-Upgrade nutzt, um das Risikomanagement vollständig neu zu gestalten, mit dem Ziel, zukünftige Bridge-Exploits daran zu hindern, Auszahlungswellen bei Einlagen auszulösen.
Kulechov erklärte, dass unter der neuen Version ein modulares „Hub-and-Spoke“-System das traditionelle Token-Pooling ersetzen wird, wodurch das Kernprotokoll in der Lage sein wird, autonome lokal begrenzte Risikoprämien zu erheben und spezifische Besicherungslinien einzufrieren, bevor eine Ansteckung die primären Kreditreserven erreicht.
"Wenn man ein vollständig auditierbares und öffentliches System hat, kann jeder den Code tatsächlich überprüfen und auch verschiedene Arten von Risikoanalysen darauf basierend durchführen. Ich denke, das ist der Schlüssel zum Aufbau widerstandsfähiger Software," schloss er.
Ob institutionelle Anleger diese milliardenschweren „Stresstests“ weiterhin ignorieren werden, während sie auf den Start von V4 warten, bleibt die entscheidende Frage für die zukünftige Etablierung von DeFi im Mainstream.