Aave und Kelp verbrennen rsETH des Exploiters auf Arbitrum, während der Wiederherstellungsplan voranschreitet

Aave und Kelp haben am 12.05.2025 die rsETH-Bestände des Angreifers auf Arbitrum verbrannt, wie Aave in einem X-Post mitteilte und damit bestätigte, dass die erste Phase des technischen Wiederherstellungsplans abgeschlossen wurde.

Die Maßnahme entfernt die letzten verbliebenen ungedeckten rsETH aus dem Umlauf, nachdem der LayerZero-Bridge-Exploit vom 18.04.2025 dem Protokoll 292 Millionen Dollar entzogen hatte.

Laut einem im Aave-Governance-Forum veröffentlichten Vorfallsbericht wurden bei dem Angriff 116.500 ungedeckte rsETH über eine Sicherheitslücke in Kelps LayerZero-betriebener Bridge zwischen Unichain und der Ethereum-Blockchain geprägt.

Die Route basierte auf einer 1-von-1-Verifier-Konfiguration, was bedeutete, dass eine einzige Verifier-Genehmigung ausreichte, um Cross-Chain-Übertragungen zu validieren. Der Angreifer fälschte eine Nachricht, die fälschlicherweise anzeigte, dass rsETH auf der Quellchain verbrannt worden sei, und gab damit ungedeckte Token auf Ethereum frei.

Diese Token wurden dann als Sicherheit in die Aave V3-Märkte eingezahlt, was dem Angreifer ermöglichte, zwischen 190 Millionen und 236 Millionen Dollar in WETH und wstETH zu leihen.

Was Phase 1 abschließt

DeFi United, die zur Bewältigung des Exploits gegründete Koalition, sammelte über 327 Millionen Dollar an ETH-Krypto-Einsätzen, um die rsETH-Deckung wiederherzustellen, ohne Verluste zu sozialisieren.

Zu den Beitragenden gehören Lido (2.500 stETH), EtherFi (5.000 ETH), LayerZero (10.000 ETH), Ethena, Mantle, Golem (1.000 ETH) und Aave-Gründer Stani Kulechov persönlich (5.000 ETH).

Am 09.05.2025 erließ U.S. Bezirksrichterin Margaret Garnett eine Anordnung zur Änderung eines früheren Vermögenswerte-Einfrierens und ermächtigte den Arbitrum Security Council, etwa 30.765 ETH im Wert von rund 71 Millionen Dollar auf eine von Aave LLC kontrollierte Wallet zu übertragen.

Das Urteil beseitigte die letzte rechtliche Hürde zur Durchführung des Wiederherstellungsplans, nachdem ein Sperrbescheid vom 01.05.2025, der mit nicht zusammenhängenden nordkoreanischen Terrorismusurteilen verbunden war, die Übertragung blockiert hatte.

Wie Cryptopolitan berichtete, hatte Aaves DAO zuvor für die Liquidierung der eingefrorenen ETH-Mittel des Angreifers gestimmt, mit Zustimmung von 90 % der abstimmenden Adressen, die durch 190 Millionen ARB-Token unterstützt wurden.

Thaddeus Pinakiewicz, Vizepräsident für Forschung bei Galaxy Digital, erklärte, dass der gesamte Wiederherstellungsaufwand nun zu etwa 90 % abgeschlossen sei.

Was in den nächsten zwei Wochen passiert

Kelp teilte mit, dass 117.132 rsETH in den nächsten zwei Wochen „schrittweise vom Aave Recovery Guardian und Kelp Recovery Safe in den LayerZero OFT-Adapter im Mainnet nachgefüllt" werden.

Kulechov schrieb auf X, dass „der letzte Schritt darin besteht, die rsETH-Bridge-Lockbox aufzufüllen", und fügte hinzu, dass Auszahlungen, die rsETH in ETH umwandeln, innerhalb von 24 Stunden beginnen würden, um die Märkte zu normalisieren.

Aaves gesamter gesperrter Wert (TVL) stabilisierte sich nach anfänglichen Abflüssen von über 10 Milliarden Dollar in den Tagen nach dem Exploit oberhalb von 15 Milliarden Dollar. Die WETH-Kreditauslastung liegt bei 93 %, USDT bei 92 % und USDC bei 91 %, was signalisiert, dass der Auszahlungsdruck beendet ist.

Wie sich die Reaktion von früheren DeFi-Exploits unterscheidet

Die rsETH-Wiederherstellung verlief anders als bei früheren großen Hacks. Der Ronin-Bridge-Angriff erforderte erhebliche externe Finanzierung und wiederhergestellte Vermögenswerte, um Nutzern Verluste von über 600 Millionen Dollar zu ersetzen.

Der Euler-Finance-Exploit endete damit, dass der Angreifer nach Verhandlungen und öffentlichem Druck den Großteil der gestohlenen Mittel zurückgab.

Aave und Kelp schlugen keinen dieser Wege ein. Stattdessen konzentrierte sich die Wiederherstellung auf die Isolierung schlechter Sicherheiten, die On-Chain-Liquidierung der Positionen des Angreifers, die Entfernung der vom Angreifer kontrollierten Token aus dem Umlauf durch die Verbrennung am 12.05.2025 und den Wiederaufbau von Reserven innerhalb der Bridge-Infrastruktur durch koalitionsfinanzierte Nachfüllungen.

Es ist auch die erste große DeFi-Exploit-Wiederherstellung, die eine Intervention eines US-Bundesgerichts bewältigt hat und mit Nutzergeldern, die über governance-koordinierte Kanäle zurückfließen, fortschreitet.

Wenn Sie das hier lesen, sind Sie bereits einen Schritt voraus. Bleiben Sie es mit unserem Newsletter.