coindesk.com
Ungefähr 292 Millionen US-Dollar Exploit am Wochenende hat die Krypto-Branche erschüttert, Schwachstellen in der Infrastruktur der dezentralen Finanzen (DeFi) offengelegt und Bedenken hinsichtlich möglicher Dominoeffekte auf Kreditprotokolle geweckt.
Während die Untersuchungen noch andauern, deuten erste Analysen darauf hin, dass sich der Angriff auf Kelp’s rsETH-Token – eine renditebringende Version von Ether ($ETH) – und den Mechanismus zur Übertragung von Vermögenswerten zwischen Blockchains konzentrierte.
Der Angreifer scheint dieses System manipuliert zu haben, um große Mengen an Token ohne angemessene Deckung zu erzeugen, und hat diese dann schnell als Sicherheiten genutzt, um Kredite aufzunehmen und reale Vermögenswerte aus Kreditmärkten abzuziehen, hauptsächlich von Aave , dem größten dezentralen Krypto-Kreditgeber.
Der Vorfall ist der jüngste Schlag für DeFi und ereignet sich nur wenige Wochen nach dem $285 Millionen Exploit von Das auf Solana basierende Protokoll Drift, beschädigt das Vertrauen der Anleger im fast 90 Milliarden Dollar schweren Kryptosektor weiter.
Wie der Angriff funktionierte
Auf hoher Ebene zielte die Sicherheitslücke auf eine Komponente der LayerZero-Brücke ab – eine Infrastrukturkomponente, die es ermöglicht, Vermögenswerte über verschiedene Blockchains hinweg zu transferieren, erklärte Charles Guillemet, CTO des Hardware-Wallet-Herstellers Ledger, in einer Mitteilung an CoinDesk.
Brücken funktionieren typischerweise, indem sie Vermögenswerte auf einer Kette sperren und entsprechende Token auf einer anderen prägen. Dieser Prozess hängt von einer vertrauenswürdigen Instanz ab – häufig als Oracle oder Validator bezeichnet –, die Einzahlungen bestätigt.
In diesem Fall fungierte Kelp effektiv als dieser Prüfer. Laut Guillemet basierte das System auf einer Single-Signer-Konfiguration, was bedeutet, dass nur eine einzige Instanz Transaktionen genehmigen konnte.
"Es scheint, dass der Angreifer in der Lage war, eine Nachricht zu signieren … was ihm erlaubte, eine große Menge rsETH zu prägen," sagte er. Er fügte hinzu, dass weiterhin unklar ist, wie dieser Zugriff erlangt wurde.
Michael Egorov, Gründer von Curve Finance, hervorgehoben auf dieselbe Schwäche in der Systemkonfiguration.
"Es können Dinge geschehen, wenn man nur einer einzigen Partei vertraut – ganz gleich, wer das sein mag."
Diese Konstellation ermöglichte es dem Angreifer, effektiv ungedeckte Token zu erstellen, obwohl keine entsprechenden Vermögenswerte auf der Quellkette gesperrt waren.
Nach der Prägung wurden die Token schnell eingesetzt. Der Angreifer „hat sie sofort größtenteils in Lending-Protokollen, vorwiegend Aave, hinterlegt, um reales $ETH dagegen zu leihen“, erklärte Guillemet.
Dieser Schritt verwandelte das Problem von einem einzelnen Exploit in ein umfassenderes Marktproblem. DeFi-Kreditplattformen sitzen nun auf Sicherheiten, die schwer abzuwickeln sein könnten, während wertvolle und liquide Vermögenswerte bereits abgezogen wurden.
„Aave blieb mit rsETH zurück, das eigentlich nicht verkauft werden kann, und maximal ausgeliehenem $ETH, sodass niemand $ETH abheben kann“, sagte Egorov von Curve.
Als Folge davon könnten Aave und andere Kreditprotokolle auf hunderten Millionen Dollar an fragwürdigem Sicherheiten und faulen Krediten sitzen, warnte er und äußerte Bedenken hinsichtlich einer möglichen „Bank Run“-Dynamik, da Nutzer eilig ihre Gelder abziehen.
Aave verzeichnete etwa einen 6-Milliarden-Dollar-Rückgang an Vermögenswerten auf dem Protokoll, da Nutzer nach dem Vorfall ihre Vermögenswerte abzogen. Das Token im Zusammenhang mit dem Protokoll lag in den letzten 24 Handelsstunden etwa 15 % im Minus.
Was wir noch nicht wissen
Wesentliche Fragen bleiben offen, wie der Validator kompromittiert wurde. Das System basierte auf dem offiziellen Node von LayerZero, was Unsicherheit darüber aufkommen lässt, ob dieser gehackt, falsch konfiguriert oder irrtümlich geführt wurde.
„Wurde es gehackt? Wurde es getäuscht? Wir wissen es nicht“, sagte Egorov.
Die Identität des Angreifers ist ebenfalls unbekannt, doch Guillemet erklärte, dass das Ausmaß des Angriffs auf einen ausgeklügelten Akteur hindeutet.
„Offenkundig keine Script-Kiddies“, sagte er.
Großer Rückschlag für das Vertrauen in DeFi
Über die unmittelbaren Verluste hinaus dient der Exploit der Episode als eine weitere Erinnerung daran, dass mit der zunehmenden Vernetzung von DeFi Ausfälle in einer Schicht schnell das gesamte System durchdringen können.
Egorov argumentierte, dass nicht isolierte Kreditmodelle, bei denen Vermögenswerte das Risiko über verschiedene Pools hinweg teilen, die Auswirkungen solcher Ereignisse verstärken.
Er wies auch auf Mängel bei der Integration neuer Vermögenswerte in Kreditplattformen hin und erklärte, dass Konfigurationen wie das 1-von-1-Verifizierer-Setup von Kelp früher hätten erkannt werden müssen.
Egorov sagte jedoch, dass es einen Hoffnungsschimmer gebe. „Krypto ist ein raues Umfeld, das keine Bank überlebt hätte – trotzdem arbeiten wir damit“, erklärte er. „Ich denke, DeFi wird aus diesem Vorfall lernen und stärker als zuvor werden.“
Dennoch untergraben selbst Vorfälle wie dieser, die zu Protokoll-Upgrades und Neugestaltungen führen, das Anlegervertrauen im weiteren DeFi-Sektor.
"Insgesamt wird das Vertrauen in DeFi-Protokolle durch derartige Ereignisse untergraben, sagte Guillemet.
„Und 2026 wird aller Voraussicht nach erneut das schlimmste Jahr in Bezug auf Hacks sein“, fügte er hinzu.
Weiterlesen: ‚DeFi ist tot‘: Die Krypto-Gemeinschaft reagiert hektisch, nachdem der diesjährige größte Hack Ansteckungsgefahren aufgedeckt hat