Ein Kreditanstieg von 300 Millionen US-Dollar auf Aave signalisiert Liquiditätsengpass nach Exploit

Die Nachwirkungen des Samstags-Hack bei KelpDAO verbreiten sich auf den Stablecoin-Märkten auf eine Weise, die nicht sofort offensichtlich war.

In den ersten 24 Stunden nach dem Angriff borgten sich Nutzer auf Aave etwa 300 Millionen US-Dollar gegen ihre Tether-Einlagen der Stablecoin Tether auf der Plattform, laut Chaos Labs Daten.

Der Anstieg der Kreditaufnahme ist kein Zeichen von Nachfrage; er ist ein Zeichen dafür, dass Nutzer keine Abhebungen vornehmen können. Da die Stablecoin-Pools erschöpft sind, nehmen Einleger Kredite gegen ihre eigenen Mittel mit Verlusten auf, nur um Liquidität zu erhalten.

Betrachten Sie es folgendermaßen: Stellen Sie sich vor, eine Bank weigert sich, Abhebungsanfragen von Kunden für Fiat-Einlagen zu bearbeiten. Aus Verzweiflung nehmen die Kunden dann Kredite auf diese Einlagen auf. Diese Kreditaufnahme ist nicht gesund, sondern ein verzweifelter Schritt zur Liquiditätsbeschaffung.

"Wir beobachten nun einige negative Sekundäreffekte aufgrund von Illiquidität auf den Aave-Stablecoin-Märkten," sagte monetsupply.eth, der pseudonyme Leiter der Strategie bei Spark, einer konkurrierenden DeFi-Kreditplattform. „Da Nutzer aufgrund einer 100%igen Auslastung keine Abhebungen vornehmen können, gab es allein im letzten Tag seit dem rsETH-Exploit einen Anstieg der Kreditaufnahme mit $USDT-Sicherheiten um rund 300 Millionen US-Dollar.“

Um zu verstehen, wie ein einzelner Exploit bei KelpDAO alle Stablecoin-Auszahlungen auf Aave gleichzeitig blockieren konnte, müssen Sie nachvollziehen, wie das System eigentlich funktionieren sollte – und genau erkennen, an welcher Stelle es versagt hat.

Was ist Aave und wie soll es funktionieren

Aave ist ein dezentralisiertes Finanzprotokoll (DeFi), das es den Nutzern ermöglicht, Kryptowährungen ohne Zwischenhändler zu verleihen und zu leihen. Man kann es sich wie eine Bank vorstellen, allerdings läuft es vollständig auf Code auf einer öffentlichen Blockchain, ohne menschliche Gatekeeper.

Nutzer hinterlegen Vermögenswerte in Kreditpools und erzielen Zinsen. Andere leihen sich aus denselben Pools, indem sie Krypto-Assets als Sicherheiten hinterlegen, die den Darlehensbetrag übersteigen. Das System ist so konzipiert, dass es sich durch Zinssätze automatisch selbst reguliert. Wenn viele Menschen leihen möchten, steigen die Zinssätze, was das Leihen verteuert und Kreditgeber dazu anregt, mehr einzuzahlen. Sinkt die Nachfrage, fallen die Zinssätze.

Das gesamte System basiert auf einer grundlegenden Annahme: Es gibt stets ausreichend Liquidität – genügend Vermögenswerte im Pool – damit Kreditgeber ihre Einlagen bei Bedarf abheben und Kreditnehmer ihre Positionen bei Bedarf auflösen können.

Wenn diese Annahme zusammenbricht, bricht auch alles andere mit ihr zusammen. Genau das geschah nach dem KelpDAO-Exploit.

rsETH und der KelpDAO-Exploit

rsETH ist ein liquider Re-Staking-Ether-Token, der von KelpDAO ausgegeben wird.

Wenn Sie Ether ($ETH) staken, sperren Sie ihn, um das Ethereum-Netzwerk zu sichern und erhalten im Gegenzug eine Rendite, ähnlich wie bei der Verzinsung einer Anleihe. Einige Protokolle geben einen Liquid-Staking-Token (LST) aus, der Ihre gestakten $ETH repräsentiert.

Re-Staking geht einen Schritt weiter und nutzt bereits gestakte Vermögenswerte erneut, um zusätzliche Systeme abzusichern, wodurch effektiv Rendite auf Rendite gestapelt wird. Im Gegenzug erhalten Sie einen Receipt-Token, der Ihre Position repräsentiert. rsETH ist ein solcher Receipt-Token und wird weit verbreitet als Sicherheit in der DeFi-Welt verwendet.

Am 18. April manipulierte ein Angreifer die Bridge-Infrastruktur von KelpDAO, sodass 116.500 rsETH freigegeben wurden — etwa 18 % der umlaufenden Token, im Wert von ungefähr 292 Millionen US-Dollar. Diese gefälschten, nicht gedeckten Token wurden sofort in Kreditprotokolle eingezahlt, hauptsächlich bei Aave, um gegen sie echtes $ETH und andere Vermögenswerte wie Wrapped Ether (wETH) zu leihen. Gefälschte Token rein, echtes Geld raus.

"Dieses [ausgeliehene] WETH ist weg. Das rsETH, das seinen Platz in den Tresoren einnimmt, ist so viel wert, wie ein unbelegter Anspruch wert ist — und nähert sich auf der L2-Seite, wo über 20 Chains gebrücktes rsETH hielten, das durch eine inzwischen leere Mainnet-Tresorbox abgesichert war, nahezu null an," sagte 0xyanshu, ein pseudonymer Krypto-Operator, der für seine Arbeit im Bereich On-Chain-Finanzierung und Risiko bekannt ist, sagte.

Aave stoppte die rsETH-Märkte auf V3 und V4 innerhalb von Stunden, wobei der Gründer Stani Kulechov bestätigte, dass der Exploit extern war und die Verträge von Aave nicht kompromittiert wurden. Diese Stilllegung stoppte den Verlust. Gleichzeitig löste sie jedoch die Kettenreaktion aus, die den Kreditaufnahmeanstieg von 300 Millionen US-Dollar verursachte.

Wie sich 300 Millionen Dollar an Krediten an einem einzigen Tag realisierten

Als die Nachricht über die Sicherheitslücke bekannt wurde, zogen Wale und große Fonds innerhalb weniger Stunden Kryptowährungen im Wert von mehreren Milliarden Dollar aus den Liquiditätspools von Aave ab. Da sie als Erste und in großer Zahl reagierten, führten ihre Abhebungen zu einer erheblichen Entleerung der Liquiditätspools.

Als der rsETH-Exploit stattfand und $AAVE schlechte Schulden anhäufte, zogen Wale wie Justin Sun, die MEXC-Börse und andere sofort Milliarden von $AAVE ab," sagte Analyst Duo Nine, sagte in einer Erklärung. „Anfänglich erreichte der $ETH-Markt eine Auslastung von 100 %, was bedeutete, dass Sie Ihre $ETH nicht von $AAVE abheben konnten.“

Dies verbreitete sich bald auf $USDT- und $USDC-Pools und erhöhte deren Auslastungsraten auf 100 %, da über 6 Milliarden US-Dollar an Vermögenswerten verließ das Protokoll innerhalb von Stunden. Jeder Kreditpool hält einen festen Betrag an Vermögenswerten, die von Nutzern eingezahlt wurden. Wenn jeder Dollar dieser Vermögenswerte ausgeliehen wurde, bleibt nichts für Auszahlungen übrig.

Das liegt daran, dass $AAVE in den vergangenen 24 Stunden über 6 Milliarden US-Dollar an Liquidität verloren hat", schrieb Duo Nine. "Während Wale ihr Geld abzogen, erreichten $USDT und $USDC ebenfalls eine Auslastung von 100 %. Diese Märkte sind nun ebenfalls mit gesperrtem Kapital belastet.

Hier begann der Anstieg der sekundären Kreditaufnahme in Höhe von 300 Millionen Dollar.

Gefangene $USDT- und $USDC-Einleger, die ihr Geld nicht einfach abheben konnten, griffen nach dem einzigen ihnen noch verfügbaren Ausweg. Sie begannen damit, Kredite auf ihre gesperrten Einlagen aufzunehmen.

„Einige Nutzer entschieden sich dazu, gegen $USDT/$USDC Kredite aufzunehmen und über andere Märkte mit einem Verlust von 10–25 % auszusteigen“, erklärte Duo Nine. „Grundsätzlich leiht man sich GHO/DAI/$USDe gegen seine gesperrten $USDT/C.“ Es handelte sich dabei nicht um eine Handelsstrategie.

Es war ein verzweifelter Akt, gegen eigenes Geld mit Verlust zu leihen und dafür nur 75 Cent pro Dollar zu akzeptieren, nur um überhaupt Liquidität aus dem System zu ziehen. Aave erlaubt es Nutzern, je nach Vermögenswert und dessen Risikoparametern bis zu 75 % des gesamten Beleihungswertes (Loan-to-Value, LTV) ihres hinterlegten Sicherheitenwertes zu leihen.

"Mit einem maximalen Beleihungswert (LTV) von 75 % können Nutzer mit feststeckenden $USDT-Einlagen bis zu 3/4 des Wertes ihrer Aave-Position auszahlen lassen. Dies führt jedoch zu einer reduzierten Liquidität in anderen Märkten, wobei die $USDC- und $USDe-Märkte nun ebenfalls eine Auslastung von 100 % erreichen," beobachtete monetsupply.eth, der pseudonyme Leiter der Strategie bei Spark, einer konkurrierenden DeFi-Kreditplattform.

Für jeden, der DeFi von außen betrachtet, ist die Botschaft klar: „Dezentralisiert“ bedeutet nicht „risikofrei“.