Ein Exploit im Wert von 290 Millionen USD des rsETH hat zu uneinbringlichen Forderungen im WETH-Bestand von Aave V3 geführt.
Der Solidity-Entwickler 0xQuit warnt, dass WETH-Abhebungen möglicherweise bereits zu spät sein könnten.
Das Aave-Umbrella-Modul wurde aktiviert, um automatisch Einsätze zu reduzieren und Defizite auszugleichen.
Im WETH-Bestand (Wrapped Ether) von Aave V3 sind nun uneinbringliche Forderungen entstanden, nachdem Angreifer den liquid restaking Token rsETH von KelpDAO ausgenutzt und als Sicherheit verwendet haben, um bei dem Kreditprotokoll Aave Kredite aufzunehmen.
Der Entwickler und Auditor 0xQuit hat auf der Plattform X auf die kritische Situation hingewiesen und Einzahler gewarnt, dass der WETH-Pool erheblich beeinträchtigt ist. Teilweise Abhebungen könnten erst wieder möglich sein, wenn der Aave-Umbrella-Mechanismus das Defizit ausgeglichen hat.
Details zum rsETH-Exploit und dessen Auswirkungen
Der Angriff begann damit, dass der Angreifer Kapital über Tornado Cash in verschiedene Wallets transferierte. Insgesamt wurden etwa 116.500 rsETH von KelpDAO abgezogen, was einem Wert von über 290 Millionen USD entspricht.
Der Angreifer hinterlegte die gestohlenen rsETH als Sicherheit bei Aave V3 und lieh sich im Gegenzug eine erhebliche Menge an WETH. Da die rsETH nach dem Abzug nicht mehr gedeckt waren, konnten die daraus resultierenden Positionen nicht liquidiert werden. Dies führt dazu, dass Aave die Forderungen in WETH nicht wie gewohnt eintreiben kann.
„Ich wünschte, ich hätte bessere Nachrichten, aber es sieht so aus, als wäre WETH auf Aave verloren. Ziehen Sie ab, falls möglich, aber vermutlich ist es bereits zu spät”, warnte 0xQuit, Solidity-Entwickler und Auditor.
Die Märkte für rsETH auf Aave V3 und Aave V4 wurden eingefroren. Aave betonte jedoch, dass es keinen Angriff auf die Smart Contracts gegeben habe und das Problem ausschließlich rsETH betreffe.
„Das Einfrieren der rsETH-Märkte verhindert neue Einzahlungen und das Leihen mit rsETH als Sicherheit, während die Lage überprüft wird. Wir untersuchen die rsETH-Leihen auf Aave, die nach dem Vorfall erfolgt sind… Falls das Protokoll durch diesen Vorfall uneinbringliche Forderungen anhäuft, können Umbrella-Assets genutzt werden, um das Defizit auszugleichen”, erklärte Aave in einer Stellungnahme.
Folgen für WETH-Einleger und das Umbrella-System
Das Umbrella-System von Aave, das im Jahr 2025 das frühere Safety Module ersetzt hat, wurde speziell für solche Situationen entwickelt.
Nutzer, die aWETH in den Umbrella Vault eingezahlt haben, müssen nun damit rechnen, dass automatisch Anteile abgezogen werden, um das Defizit auszugleichen.
Nach Abschluss des Abschreibungszyklus sollten verbleibende WETH-Einleger zumindest teilweise wieder Geld abheben können. Eine vollständige Rückerstattung ist jedoch nicht garantiert, und Einzahler müssen möglicherweise einen Wertverlust auf ihre Einlagen hinnehmen.
Dieser Vorfall stellt den ersten großen Praxistest für den automatischen Ausgleich uneinbringlicher Forderungen durch das Umbrella-System dar und wirft neue Fragen zu den Risiken auf, die entstehen, wenn liquid restaking Token als Sicherheiten in Kreditprotokollen verwendet werden.
Reaktionen von Upshift und KelpDAO
Das Upshift-Team, das nicht-verwahrende Vaults für die Verwaltung tokenisierter Vermögenswerte anbietet, hat versichert, dass es keine Berührungspunkte mit rsETH gibt.
„Wir stehen wegen eines möglichen Exploits von rsETH mit KelpDAO in Kontakt. Aus Vorsicht hat das Kelp-Team entschieden, Ein- und Auszahlungen beim High Growth ETH und Kelp Gain Vault vorübergehend zu pausieren, während die Untersuchungen laufen. Upshift USDC, Core USDC und EarnAUSD Vaults haben keinerlei Kontakt zu rsETH. Wir halten Sie über neue Erkenntnisse vom Kelp-Team auf dem Laufenden”, erklärte Upshift.
Bildquelle: ai-generated-gemini
Schreibe einen Kommentar