Aave hält die WETH-Märkte auf seiner Prime-Implementierung und mehreren großen Layer-2-Netzwerken eingefroren, nachdem der KelpDAO-rsETH-Bridge-Exploit die ETH-Märkte stark unter Druck gesetzt hatte. Dem Vorfallbericht des Protokolls zufolge hat der Aave Guardian am 18. April zunächst rsETH und Wrapped rsETH auf allen V3-Implementierungen eingefroren und die Sperre am 20. April auf WETH ausgeweitet.
Der KelpDAO-Exploit entzog der LayerZero-basierten Bridge etwa 116.500 rsETH. Anschließend wurde diese ungedeckte Sicherheit in Aave auf Ethereum und Arbitrum eingeschleust. Angriffs-Wallets lieferten rsETH an Aave und liehen sich große Mengen an WETH aus. Diese Aktivität brachte mehrere WETH-Pools fast an ihre Auslastungsgrenze und machte Auszahlungen für reguläre Kreditgeber nahezu unmöglich.
Aave betont in seinen Governance-Beiträgen und öffentlichen Updates, dass niemand seine Smart Contracts kompromittiert hat. Der Vorfall ergab sich ausschließlich aus den Bedingungen der rsETH-Bridge, nicht aus einem Fehler in der Kreditvergabelogik von Aave, die weiterhin wie vorgesehen die Bereitstellung, Rückzahlung und Liquidationen abwickelte.
Was das Einfrieren von WETH auf Prime und L2s bedeutet
Im Bericht zum Vorfall vom 20. April erklärt Aave, dass der Guardian WETH auf Ethereum Core, Ethereum Prime, Arbitrum, Base, Mantle und Linea gegen 02:00 Uhr UTC eingefroren hat. Dieser Schritt stoppte neue Kreditaufnahmen gegen WETH-Sicherheiten. Er zielte auch darauf ab, zu verhindern, dass sich die Belastungen auf den WETH-Märkten auf Stablecoins und andere Reserven ausweiten.
Ein separater Governance-Thread klärt, was „eingefroren“ im Aave-Vokabular bedeutet. Wenn das Protokoll eine Reserve einfriert, können Nutzer keine weiteren Einlagen dieses Vermögenswerts tätigen, niemand kann ihn ausleihen, und die Governance setzt das Loan-to-Value-Verhältnis auf null, sodass Nutzer bestehende Einlagen nicht zur Eröffnung neuer Kreditpositionen nutzen können. Positionen bleiben offen und Nutzer können weiterhin zurückzahlen oder einer Liquidation unterliegen, aber sie können nur dann abheben, wenn der Pool über freie Liquidität verfügt.
Aave hat WETH auf dem Ethereum Core V3-Markt bereits wieder freigegeben. Dort ist nun ein neues WETH-Angebot möglich. Der Loan-to-Value dieser Reserve bleibt jedoch vorerst bei null.
WETH auf Prime, Arbitrum, Base, Mantle und Linea bleibt eingefroren. Die Dienstleister beobachten die Märkte und modellieren verschiedene Szenarien für Forderungsausfälle.
Der gemeinsame Vorfallsbericht der Aave-Dienstleister besagt, dass der Angreifer die 116.500 rsETH auf sieben Adressen aufgeteilt hat. Diese Adressen nutzte er dann, um rsETH-besicherte Kredite auf Aave über Ethereum und Arbitrum hinweg aufzunehmen. Diese Kredite weisen Gesundheitsfaktoren auf, die knapp über eins liegen. Dieses Niveau verhindert eine sofortige Liquidation und hinterlässt dem Protokoll einen Block riskanter Positionen.
WEITERLESEN: Tesla-Aktienkursanalyse und Gewinnvorschau: Kaufen oder verkaufen?
