Aave hat am 18. Mai 2026 die WETH-Leihgrenzen auf sechs Netzwerken wiederhergestellt. Das ist das deutlichste Signal, dass die Krise nach dem größten DeFi-Hack des Jahres 2026 weitgehend unter Kontrolle ist. 95,4% der ungedeckten rsETH wurden innerhalb von dreißig Tagen zurückgewonnen, koordiniert durch die Initiative DeFi United. Noch offen sind 30.765 ETH, rund 71 Millionen Dollar, die auf Arbitrum eingefroren sind und deren Eigentum vor dem Bundesgericht in Manhattan geklärt werden muss.
Sicherheitsvorfall-Bericht
Protokoll
Kelp DAO (rsETH Bridge)
Entwendeter Betrag
$292M (116.500 rsETH)
Chain
Ethereum + 20 L2 (Arbitrum, Base, Linea, Unichain, Mantle, Scroll)
Datum
18. April 2026, 17:35 UTC
Angriffsvektor
Kompromittierung der RPC-Knoten, die das DVN (Decentralized Verifier Network) von LayerZero Labs speisen, kombiniert mit einem DDoS-Angriff auf die nicht kompromittierten Knoten. Die infizierten Knoten injizierten eine gefälschte Cross-Chain-Nachricht von Unichain und brachten den Ethereum-Vertrag dazu, 116.500 rsETH ohne jede Deckung freizugeben. DVN-Konfiguration 1-von-1: ein einziger Ausfallpunkt.
Reaktion des Protokolls
Kelp pausiert die Core-Verträge um 18:21 UTC (46 Minuten nach dem Drain) und blockiert zwei weitere Angriffe über $100M. Aave, SparkLend und Fluid frieren die rsETH-Märkte ein. Am 21. April friert der Arbitrum Security Council 30.765 ETH ein. Am 23. April startet Aave DeFi United gemeinsam mit Lido, EtherFi und Stani Kulechov.
Quelle: Chainalysis, Hypernative, CoinDesk, 18. April 2026
Kompromittierung der RPC-Knoten, die das DVN (Decentralized Verifier Network) von LayerZero Labs speisen, kombiniert mit einem DDoS-Angriff auf die nicht kompromittierten Knoten. Die infizierten Knoten injizierten eine gefälschte Cross-Chain-Nachricht von Unichain und brachten den Ethereum-Vertrag dazu, 116.500 rsETH ohne jede Deckung freizugeben. DVN-Konfiguration 1-von-1: ein einziger Ausfallpunkt.
Kelp pausiert die Core-Verträge um 18:21 UTC (46 Minuten nach dem Drain) und blockiert zwei folgende Angriffsversuche über je $100M. Aave, SparkLend und Fluid frieren die rsETH-Märkte ein. Am 21. April friert der Arbitrum Security Council 30.765 ETH ein. Am 23. April startet Aave gemeinsam mit Lido, EtherFi und Stani Kulechov die Initiative DeFi United.
Recovery-Status: 18. Mai 2026
- Erstellte ungedeckte rsETH 112.103
- Zurückgewonnene rsETH gesamt 106.993 (95,4%)
- davon via Aave-Liquidierungen 89.567 rsETH
- davon via Compound 17.426 rsETH
- Verbleibendes Defizit (DeFi United) ca. 5.200 rsETH
- DeFi United gesammelte Mittel $327,95M
Quelle: Aave Governance Forum, CoinDesk, 18. Mai 2026
Quelle: Aave Governance Forum, CoinDesk, 18. Mai 2026
Wie DeFi United wiederaufbaute, was Lazarus zerstört hatte
23. April 2026, fünf Tage nach dem Exploit. Stani Kulechov, Gründer von Aave, kündigt einen persönlichen Beitrag von 5.000 ETH an. Lido Finance folgt mit 2.500 stETH (rund 5,7 Millionen Dollar, laut CoinDesk-Angaben vom 23. April) und EtherFi mit einem Plan über 5.000 ETH. Die Initiative heißt DeFi United: ein koordinierter Rückgewinnungsfonds, aufgebaut in wenigen Wochen, ohne jedes institutionelle Mandat. Ziel war es, das rsETH-Defizit zu decken und kaskadierende Zwangsliquidierungen im gesamten System zu verhindern. Am Ende wurden laut Aave Governance Forum 327,95 Millionen Dollar gesammelt, viermal mehr als nötig. Die Koalition schloss die Reihen, bevor die Aufsichtsbehörden überhaupt reagiert hatten. Für den vollständigen Hintergrund zum ursprünglichen Hack: Kelp DAO: $292M aus der rsETH-LayerZero-Bridge abgeflossen. Der technische Streit zwischen Kelp und LayerZero ist hier analysiert: LayerZero und Kelp: die DVN-Konfigurationsdebatte.
On April 18 at 17:35 UTC, an attacker drained 116,500 rsETH (~$292M, ~18% of circulating supply) from Kelp DAO's LayerZero-powered bridge.
, CredShields (@CredShields) April 19, 2026
$292M drained, 2026's largest DeFi hack so far.
Here's how it unfolded and what it means. 👇 https://t.co/D7i53vaj6p
Am 18. Mai stellte Aave die Loan-to-Value-Parameter für WETH auf sechs V3-Deployments (Ethereum Core, Ethereum Prime, Arbitrum, Base, Mantle und Linea) auf den Stand vor dem Exploit zurück. Die offizielle Mitteilung auf X erschien um 7:05 UTC. Für alle, die aktiv DeFi nutzen: Der wichtigste Kreditmarkt des Ökosystems ist wieder vollständig in Betrieb. Kreditaufnahme gegen ETH auf sechs Netzwerken, Liquidität und Hebelstrategien, die einen Monat lang eingefroren waren, stehen wieder zur Verfügung.
Was beim Kelp-DAO-Exploit passiert ist und wer die Verluste trägt
Die nordkoreanische Lazarus-Gruppe führte laut Rekonstruktion von LayerZero und Chainalysis eine dreiteilige Operation durch. Zuerst kompromittierte sie zwei RPC-Knoten, die den Bridge-Verifizierer speisten. Dann startete sie einen DDoS-Angriff gegen die nicht kompromittierten Knoten, um diese offline zu bringen und als einzige Datenquelle die bereits kontrollierten Knoten zu hinterlassen. Schließlich injizierte sie eine gefälschte Cross-Chain-Nachricht von Unichain und wies den Ethereum-Vertrag an, 116.500 rsETH freizugeben, als ob eine legitime Operation auf Unichain stattgefunden hätte. Stattdessen befanden sich auf Unichain lediglich rund 49 rsETH im Umlauf. Die Nachricht lautete 116.500. Der Vertrag führte aus. Ein fataler Fehler.
Die 1-von-1-DVN-Konfiguration war der schwache Punkt: ein einziger Verifizierer, keinerlei redundante Kontrolle. Kelp behauptet, dies sei die Standardkonfiguration von LayerZero zum Zeitpunkt des Deployments gewesen; LayerZero erklärt, mehrere Verifizierer empfohlen zu haben. Laut Daten, die zum Zeitpunkt des Angriffs veröffentlicht wurden, nutzt noch immer 40% der auf LayerZero aktiven Protokolle dasselbe Setup.
Die eingefrorenen $71M und der Rechtsstreit um die nordkoreanischen Opfer
21. April. Der Arbitrum Security Council friert 30.765 ETH ein, zum Zeitpunkt der Maßnahme rund 71 Millionen Dollar wert, die bei mit dem Angreifer verbundenen On-Chain-Bewegungen zurückgewonnen wurden. Die Absicht: Rückgabe an die geschädigten Nutzer. Doch am 5. Mai reichen Anwälte, die amerikanische Terrorismusopfer Nordkoreas vertreten, einen Antrag beim Bundesgericht des südlichen Distrikts New York ein. Das Argument: Die Gelder seien laut dem Terrorism Risk Insurance Act (TRIA) „nordkoreanisches Staatseigentum“ und damit pfändbar, um bereits erwirkte Urteile gegen Pjöngjang zu vollstrecken.
Aave hat dem Gericht eine Gegenschrift eingereicht: Die Mittel gehören den Protokollnutzern, nicht Nordkorea. Eine Sperrung würde laut Aave „Kaskadenliquidierungen und irreparable Schäden“ für Personen verursachen, die mit der Lazarus Group nichts zu tun haben. Die Gegenseite erhöhte jedoch in einem zweiten Schriftsatz vom 6. Mai den Druck: Aaves eigene Nutzungsbedingungen schwächen die Position des Protokolls. Sie ausdrücklich erklären, dass die Plattform kein „Eigentum, keine Verwahrung und keine Kontrolle“ über Nutzervermögen hat. Wenn Aave die Assets nicht kontrolliert, wie kann das Protokoll sie vor Gericht beanspruchen? DeFi United hat mittlerweile 327 Millionen Dollar gesammelt, viermal den strittigen Betrag. Zahlenmäßig sind die 71 Millionen Dollar für die Recovery nicht nötig. Rechtlich wäre das entstehende Präzedenzfall jedoch von erheblicher Bedeutung.
Laut den zum Zeitpunkt des Angriffs veröffentlichten Daten ist noch immer 40% der auf LayerZero laufenden Protokolle mit einem einzigen Verifizierer konfiguriert. SEAL-911, die DeFi-Sicherheits-Taskforce, hat darauf hingewiesen, dass ein zweiter, von Kelp am 18. April um 18:26 UTC blockierter Versuch weitere rund 200 Millionen Dollar abgezogen hätte. Das System hielt 46 Minuten durch, bevor die Pause aktiviert wurde. Eine Ewigkeit für eine Bridge, die Milliarden verarbeitet. Die Frage, die die Branche weiter beschäftigt, hat LayerZero noch nicht vollständig beantwortet: Wie viele weitere produktive Verträge würden heute eine gefälschte Signatur wie die vom 18. April akzeptieren, schlicht weil niemand die Konfiguration aktualisiert hat? Für DACH-Investoren, die DeFi-Protokolle nutzen, bleibt die Überprüfung der genutzten Bridge-Konfiguration die wichtigste praktische Konsequenz aus diesem Vorfall.
