Der KelpDAO Hack hat aus einem Bridge-Fehler eine Vertrauenskrise für DeFi gemacht: Aave prüft nun eine 25.000-ETH-Beteiligung an DeFi United, um die rsETH-Unterlegung zu stabilisieren und betroffene Märkte zu beruhigen. Für Anleger in Europa ist entscheidend, dass es nicht nur um einen einzelnen Exploit geht, sondern um die Frage, wie sicher Restaking-Token als Sicherheiten wirklich sind.
Der Fall trifft einen Nerv, weil Aave nicht selbst gehackt wurde. Nach dem vorliegenden Incident Report entstand das Problem außerhalb der Aave-Smart-Contracts: Ein gefälschtes Cross-Chain-Paket löste am 18. April 2026 die Freigabe von 116.500 rsETH aus dem Ethereum-Adapter aus. Genau diese Trennung zwischen „Protokoll funktioniert“ und „Sicherheit der Sicherheiten bricht“ macht den KelpDAO Hack für den gesamten DeFi-Markt so brisant.
KelpDAO Hack: Was ist passiert?
Im Zentrum steht rsETH, ein Liquid-Restaking-Token von Kelp DAO. Solche Token sollen gestaktes beziehungsweise restaktes ETH handelbar machen und werden in DeFi häufig als Sicherheit genutzt. Laut dem rsETH Incident Report im Aave-Governance-Forum wurde die Unichain-zu-Ethereum-Route über LayerZero als 1-of-1-DVN-Pfad betrieben. Vereinfacht gesagt reichte eine einzelne Verifikationsinstanz aus, damit eine Cross-Chain-Nachricht akzeptiert wurde.
Der Angreifer nutzte genau diese Schwachstelle aus. Ein scheinbar gültiges Paket wurde auf Ethereum verarbeitet, obwohl auf der Quellseite keine entsprechende Verbrennung von Token stattfand. Dadurch wurden 116.500 rsETH an eine Angreiferadresse freigegeben. Teile davon landeten anschließend als Sicherheit in Aave-Positionen, wodurch echte Assets gegen nicht ausreichend gedeckte Sicherheiten geliehen werden konnten.
Der KelpDAO Hack ist deshalb kein klassischer Smart-Contract-Fehler im engen Sinn. Er zeigt vielmehr, wie gefährlich Offchain-Infrastruktur, Bridge-Konfigurationen und Oracle-Annahmen werden können, sobald ein Vermögenswert in mehreren Protokollen gleichzeitig als Sicherheit akzeptiert wird.
Warum Aave jetzt 25.000 ETH ins Spiel bringt
Aave-Serviceprovider haben am 24. April 2026 einen ARFC-Vorschlag veröffentlicht. Dieser sieht vor, dass die Aave DAO 25.000 ETH als Teil der koordinierten DeFi-United-Rettungsbemühung bereitstellt. Ziel ist es, die rsETH-Unterlegung zu verbessern, betroffene Aave-V3-Märkte zu stabilisieren und Nutzer vor einer ungeordneten Verlustverteilung zu schützen.
Wichtig ist die Einordnung: Es handelt sich um einen Governance-Vorschlag, nicht um eine endgültig abgeschlossene Auszahlung. Der ARFC „rsETH Incident Funding Update“ nennt eine ursprüngliche Finanzierungslücke von rund 163.183 ETH. Durch eingefrorene, wiederherstellbare oder erwartete Mittel soll diese Lücke bereits deutlich reduziert worden sein. Die verbleibende Lücke wird im Vorschlag mit etwa 75.081 ETH beziffert.
„The numbers in this document reflect the central case. They are not guaranteed.“
TokenLogic — Aave-Governance-Forum, ARFC vom 24. April 2026
Diese Einschränkung ist zentral. Der Rettungsplan hängt unter anderem davon ab, ob Kelp DAO Auszahlungen wieder öffnet, LayerZero die betroffene Bridge wieder nutzbar macht, Arbitrum eingefrorene Gelder freigibt und Liquidationen auf Aave sowie Compound wie erwartet durchgeführt werden können.
Warum der Fall für Leser in Europa wichtig ist
Für Anleger und DeFi-Nutzer in Deutschland, Österreich, der Schweiz, Liechtenstein, Luxemburg und Belgien ist der KelpDAO Hack vor allem ein Risikosignal. Wer Restaking-Produkte, LSTs, LRTs oder Lending-Protokolle nutzt, trägt oft nicht nur das Risiko des Tokens selbst. Hinzu kommen Bridge-Risiken, Governance-Risiken, Oracle-Risiken und Liquiditätsrisiken.
Das ist besonders relevant, weil viele DeFi-Produkte auf den ersten Blick wie technisch getrennte Bausteine wirken. In der Praxis entstehen aber Kettenreaktionen. Ein Fehler in einer Bridge kann die Bewertung eines Tokens verändern. Diese Bewertung kann Sicherheiten auf Lending-Plattformen betreffen. Wenn die Sicherheiten nicht mehr ausreichen, entsteht Bad Debt, also ein Fehlbetrag, den Nutzer, DAO-Treasuries oder externe Unterstützer irgendwie tragen müssen.
| Aspekt | Einordnung | Bedeutung für Nutzer |
|---|---|---|
| Direkter Auslöser | Gefälschtes Cross-Chain-Paket über eine rsETH-Route | Bridge-Sicherheit wird zum Kernrisiko |
| Betroffener Vermögenswert | rsETH beziehungsweise bridged rsETH | Restaking-Token sind nicht automatisch risikoarm |
| Aave-Rolle | Keine Kompromittierung der Aave-Smart-Contracts laut Incident Report | Auch sichere Protokolle können durch externe Sicherheiten belastet werden |
| Rettungsansatz | DeFi United, öffentliche Beiträge und Governance-Prozesse | Vertrauen hängt an transparenter Abwicklung |
DeFi United: Rettung oder gefährlicher Präzedenzfall?
Die Initiative DeFi United beschreibt sich als koordinierte Hilfsaktion unter Führung von Aave-Serviceprovidern nach dem rsETH-Vorfall. Auf der Projektseite werden unter anderem Aave DAO, Mantle, Arbitrum DAO, Stani Kulechov, Ether.Fi, Lido, Golem und weitere Akteure als bestätigte oder ausstehende Beitragende genannt.
Das positive Signal liegt auf der Hand: Der Markt versucht, eine ungeordnete Abwicklung zu verhindern. Eine schnelle Koordination kann Nutzer schützen, Liquidität stabilisieren und Panik reduzieren. Gerade nach dem KelpDAO Hack ist das für DeFi wichtig, weil Vertrauen in unterlegte Vermögenswerte schneller verschwinden kann als Liquidität zurückkehrt.
Der kritische Punkt ist aber ebenso deutlich. Wenn DAOs große Verluste nachträglich auffangen, ohne die Risikoparameter zu ändern, entsteht ein Moral-Hazard-Problem. Nutzer könnten erwarten, dass systemrelevante Protokolle im Zweifel gerettet werden. Protokolle wiederum könnten riskantere Sicherheiten akzeptieren, wenn sie davon ausgehen, dass spätere Koalitionen Verluste abfedern.
Was der KelpDAO Hack über Restaking-Risiken zeigt
Restaking verspricht zusätzliche Rendite, erhöht aber die Komplexität. Ein Token wie rsETH kann mehrere Abhängigkeiten bündeln: ETH-Staking, Restaking-Mechanik, Token-Contract, Bridge-Adapter, Cross-Chain-Verifizierung, Oracle-Preis und Lending-Parameter. Je länger diese Kette wird, desto schwieriger ist es für normale Nutzer, das tatsächliche Risiko zu erkennen.
KelpDAO Hack und die Frage nach Sicherheitenqualität
Der wichtigste Lerneffekt ist nicht, dass jede Restaking-Anwendung unsicher ist. Der wichtigste Lerneffekt ist, dass Sicherheitenqualität nicht allein über Marktgröße, Marke oder historische Stabilität bewertet werden darf. Entscheidend sind auch technische Abhängigkeiten: Wer verifiziert Cross-Chain-Nachrichten? Gibt es mehrere unabhängige Prüfer? Wie schnell kann ein Markt eingefroren werden? Wie liquide ist der Vermögenswert im Stressfall?
In der Aave-Diskussion fordern Community-Mitglieder deshalb strengere Standards für derivative Sicherheiten, niedrigere LTV-Grenzen bei Bridge-Abhängigkeit und eine bessere öffentliche Risikoklassifizierung. Diese Debatte dürfte nach dem KelpDAO Hack wichtiger sein als die reine Frage, ob die aktuelle Finanzierungslücke geschlossen wird.
Was Nutzer jetzt praktisch prüfen sollten
Wer DeFi in Europa nutzt, sollte die Situation nicht als isolierte Schlagzeile abhaken. Sinnvoll ist eine kurze Bestandsaufnahme der eigenen Positionen, besonders wenn sie LRTs, bridged Assets oder hohe Beleihungsquoten enthalten.
- Sicherheiten prüfen: Welche Assets dienen als Collateral, und hängen sie von Bridges oder externen Verifizierern ab?
- LTV und Health Factor beobachten: Hohe Auslastung kann in Stressphasen Liquidationen erschweren.
- Governance-Updates lesen: Relevante Änderungen erscheinen oft zuerst in Foren wie dem Aave-Governance-Forum.
- Rendite realistisch bewerten: Mehr Rendite kann zusätzliche technische und strukturelle Risiken bedeuten.
Zur weiteren Einordnung des angrenzenden Falls lohnt sich auch der Blick auf den BITBLICK-Artikel Arbitrum KelpDAO: Brisante 71-Mio.-Dollar-Rettung.
Wie geht es jetzt weiter?
Der weitere Ablauf hängt an Governance und Koordination. Laut ARFC soll nach Community-Feedback ein Snapshot folgen; bei Zustimmung könnte anschließend ein AIP-Prozess starten. Parallel müssen mehrere externe Schritte gelingen, darunter die Behandlung eingefrorener Arbitrum-Mittel, mögliche Liquidationen und die technische Wiederherstellung der rsETH-Unterlegung.
LayerZero erklärte in einer Incident-Stellungnahme, dass Anwendungen mit 1-of-1-DVN-Konfigurationen zu Multi-DVN-Setups mit Redundanz migrieren sollen und die LayerZero Labs DVN keine Nachrichten für Anwendungen mit 1-of-1-Konfiguration mehr signieren werde. Kelp DAO wiederum bestreitet nach Berichten über die öffentliche Stellungnahme die Darstellung, dass die kritisierte Konfiguration allein als unübliche Kelp-Entscheidung zu werten sei.
Damit bleibt der KelpDAO Hack auch eine Verantwortungsdebatte zwischen Infrastruktur-Anbieter, Asset-Emittent, Lending-Protokollen und Governance-Teilnehmern. Für Nutzer zählt am Ende weniger, wer die bessere PR-Linie hat. Entscheidend ist, ob Sicherheiten künftig vorsichtiger bewertet und Bridge-Abhängigkeiten transparenter gemacht werden.
Fazit: Vertrauen wird nicht nur mit ETH repariert
Die 25.000 ETH von Aave könnten ein wichtiger Teil der Stabilisierung sein. Sie lösen aber nicht automatisch das Grundproblem. Der KelpDAO Hack hat gezeigt, dass DeFi-Risiken nicht an Protokollgrenzen haltmachen. Ein externer Bridge-Fehler kann ein Lending-Protokoll, Liquiditätspools, DAO-Treasuries und Nutzerpositionen gleichzeitig treffen.
Für den europäischen Markt ist die wichtigste Lehre deshalb nüchtern: DeFi bleibt innovativ, aber nicht risikofrei. Wer Restaking-Token oder komplexe Sicherheiten nutzt, sollte nicht nur auf Rendite und bekannte Protokollnamen schauen, sondern auf die gesamte technische Kette hinter einem Asset.
Häufige Fragen zum KelpDAO Hack
Was ist beim KelpDAO Hack passiert?
Ein gefälschtes Cross-Chain-Paket führte zur Freigabe von 116.500 rsETH aus dem Ethereum-Adapter. Dadurch entstand eine Unterdeckung bei bridged rsETH und ein Risiko für Protokolle, die rsETH als Sicherheit akzeptierten.
Wurde Aave selbst gehackt?
Nach dem Aave-Incident-Report wurden die Aave-Smart-Contracts nicht kompromittiert. Das Risiko entstand durch den externen rsETH-Vorfall und die Nutzung des Tokens als Sicherheit in Aave-Märkten.
Warum sind 25.000 ETH wichtig?
Die 25.000 ETH sind Teil eines vorgeschlagenen Aave-Beitrags zur DeFi-United-Rettungsinitiative. Sie sollen helfen, die rsETH-Unterlegung zu verbessern und betroffene Märkte zu normalisieren.
Was sollten DeFi-Nutzer jetzt beachten?
Nutzer sollten prüfen, ob ihre Sicherheiten von Bridges, Restaking-Token oder hohen Beleihungsquoten abhängen. Besonders wichtig sind Health Factor, LTV, Liquidität und offizielle Governance-Updates.
