Belohnungszentrum 
Aave, das bislang größte dezentrale Lending-Protokoll mit über 20 Mrd. USD an Einlagen, musste jüngst rund 196 Mio. USD Verlust durch notleidende Kredite nach einem externen Exploit verkraften. Am 19. April 2026 wurde der rsETH-Contract der Kelp DAO durch einen Angriff um 292 Mio. USD entleert – der bislang größte DeFi-Exploit des Jahres. Der Angreifer nutzte den gestohlenen rsETH als Sicherheit bei Aave V3, um WETH zu leihen. Da der rsETH nach dem Angriff nicht mehr besichert war, war diese Sicherheit praktisch wertlos.
Innerhalb von 24 Stunden fiel der Aave TVL von rund 22 Mrd. USD auf 15,4 Mrd. USD, da Nutzer auf sämtlichen Märkten Gelder abzogen – auch aus Pools ohne rsETH-Exposure. Der AAVE-Token verlor je nach Börse 16–20 % an Wert. Der eigens für solche Szenarien vorgesehene Umbrella Safety Reserve könnte das entstandene Defizit von 196 Mio. USD möglicherweise nicht vollständig abdecken.
Wie wurde der Kelp-Exploit zum Problem für Aave?
Der Angriff auf Kelp DAO hatte technisch keinen Bezug zu Aaves Smart Contracts. Kelp ist ein Liquid-Restaking-Protokoll auf Basis von EigenLayer und gibt rsETH-Token als Abbild gestakter ETH-Positionen aus. Am 19. April wurden durch eine Schwachstelle beim Auszahlungsmechanismus rund 292 Mio. USD an Basiswerten entwendet. Die verbliebenen rsETH-Token waren plötzlich unbesichert und notierten mit erheblichem Abschlag zum ETH-Peg.
Hier kommt Aave ins Spiel: Bevor das Kelp-Team die kompromittierten Token sperren konnte, nutzte der Angreifer große Mengen des gestohlenen rsETH als Sicherheit auf Aave V3 und lieh WETH. Da das Aave-Oracle den rsETH noch zum alten Kurs bewertete (das Chainlink-Feed hatte den Depeg noch nicht erfasst), konnte der Angreifer WETH abziehen, während Aave mit nahezu wertlosen Sicherheiten zurückblieb.
Das Ergebnis: rund 196 Mio. USD an notleidenden Krediten, konzentriert im rsETH-WETH-Pool. Dies ist kein hypothetischer Buchverlust, sondern ein realer Ausfall gegenüber den Einlegern, die das ausgeliehene WETH bereitgestellt hatten.
Warum zogen 6,6 Mrd. USD in 24 Stunden von Aave ab?
Der rapide TVL-Einbruch ist für DeFi-Nutzer noch gewichtiger als der tatsächliche Verlust: Die Bad Debts waren auf die rsETH-WETH-Paare bestimmter Märkte beschränkt. Die überwiegende Mehrheit der Aave-Pools hatte keinerlei rsETH-Exposure – etwa USDC-, DAI- oder wBTC-Supplier auf nicht betroffenen Chains. Dennoch zogen Einleger über alle Märkte und Ketten Gelder ab, sobald "Aave" und "Kreditausfall" in den Schlagzeilen auftauchten. Binnen eines Tages sank der TVL um 6,6 Mrd. USD – weit mehr als die tatsächlichen Verluste.
Dieses Muster ist aus DeFi bekannt: Nach dem Euler-Fi-Exploit im März 2023 kam es auch bei anderen Lending-Protokollen zu großflächigen Abzügen, selbst wenn sie vom eigentlichen Hack nicht betroffen waren. Bei Aave ist der Effekt wegen der Größe besonders gravierend: Der Marktführer gilt als Referenz für professionelles DeFi-Lending. Ein panikartiger Abzug von 6,6 Mrd. USD sendet ein Signal weit über einen einzelnen TVL-Chart hinaus.
Die Abflüsse hatten zudem einen weiteren Effekt: Steigende Auslastungsquoten in den verbleibenden Pools führten zu höheren Zinssätzen, was erneute Abhebungen anregte – ein Feedback-Loop, der den TVL-Rückgang deutlich über den realen Verlust hinaus erhöhte. Die 6,6 Mrd. USD spiegeln also vor allem geänderte Risikoabwägungen der Einleger wider.
Wie wird das 196 Mio. USD-Defizit behandelt?
Aave verfügt mit dem Umbrella Safety Module über einen Reservepool, der für derartige Szenarien vorgesehen ist. Dieser wird durch Protokollgebühren und gestakte AAVE-Einlagen gespeist. Zum Zeitpunkt Mitte April 2026 hielt der Reservepool geschätzt 80–100 Mio. USD. Es bleibt damit eine Lücke von 96–116 Mio. USD, für die weitere Maßnahmen nötig wären. Über die Aktivierung des Umbrella-Moduls entscheidet die Community per Governance-Vote.
Reicht der Reservefonds nicht aus, greifen die nächsten Schutzmechanismen: Staker von stkAAVE übernehmen das Restverlust-Risiko und erhalten dafür Protokollgebühren. Eine Governance-Abstimmung über ein "Slashing" (Einbehalt eines Teils der gestakten AAVE zur Deckung des Schadens) ist möglich – dieses Risiko ist den Stakeholdern bewusst.
Aave-Gründer Stani Kulechov äußerte sich öffentlich und betonte, dass der Exploit ausschließlich Kelp betraf und Aave wie vorgesehen agierte. Technisch ist das korrekt, doch für Einleger, die ihren Zugang zu WETH durch wertloses Sicherheiten-Asset verloren, bietet das wenig Trost.
Was signalisiert der AAVE-Tokenpreis?
Der AAVE-Token stürzte nach Bekanntwerden des Exploits binnen Stunden um 16–20 % (von etwa 280 USD auf rund 224 USD, später stabilisierend bei 235 USD). Die Gründe: Erstens die direkten finanziellen Auswirkungen des Kreditausfalls und das Risiko für stkAAVE-Staker, zweitens der Reputationsschaden für das führende DeFi-Lending-Protokoll.
Die Erholung fällt bislang moderat aus und hängt maßgeblich davon ab, wie die Governance das Defizit löst. Deckt der Umbrella Reserve den Großteil des Schadens zeitnah ab und wird ein etwaiges Slashing moderat umgesetzt, dürfte das Vertrauen schneller zurückkehren als bei langen Debatten. Verzögerungen oder weitere Ausfälle bei anderen Restaking-Token könnten den Kurs erneut belasten.
Auffällig ist, wie sich große AAVE-Holder positionieren: On-Chain-Daten aus den ersten 48 Stunden zeigen ein gemischtes Bild – einige Wallets akkumulieren unter 230 USD, andere transferieren AAVE zu Börsen. Dieser Richtungsstreit dürfte sich mit Klarheit bei der Governance-Entscheidung auflösen.
Was bedeutet der Vorfall für DeFi-Lending-Protokolle?
Der Kelp-Aave-Vorfall offenbart eine systemische Schwachstelle: DeFi-Lendingsysteme verlassen sich auf Oracle-bewertete Sicherheiten. Werden diese durch einen externen Angriff schneller wertlos, als das Oracle reagieren kann, absorbiert das Lending-Protokoll den Verlust – auch wenn die eigenen Verträge wie geplant funktionieren. Die Sicherheit von Aave-Einlagen hängt somit indirekt von der Integrität aller Protokolle ab, deren Token als Sicherheit akzeptiert werden.
Kritiker warnen bereits seit Start von EigenLayer vor diesem Kompositionsrisiko beim Restaking: Liquid Restaking Token wie rsETH, rswETH oder ezETH bündeln komplexe Staking-Positionen zu neuen Derivaten, die wiederum als Sicherheit für DeFi dienen. Bricht eine Schicht weg, sind alle darauf aufsetzenden Systeme betroffen.
Zu erwarten ist, dass große Lending-Protokolle wie Compound, MakerDAO und andere ihre Sicherheiten-Standards für Liquid Restaking Token überarbeiten. Teils könnten solche Token sogar temporär von Collateral-Listen gestrichen werden.
Für Einleger gilt: Battle-getestete Smart Contracts schützen vor Code-Exploits im Lending-Protokoll, nicht aber vor externen Collateral-Risiken. Diversifikation über verschiedene Sicherheiten – nicht nur über Plattformen – ist entscheidend.
FAQ
Wurde Aave selbst gehackt?
Nein, die Smart Contracts von Aave wurden nicht kompromittiert. Die notleidenden Kredite stammen aus einem externen Exploit des rsETH-Protokolls der Kelp DAO. Der Angreifer nutzte die gestohlenen rsETH als Sicherheit, um WETH zu leihen; als rsETH seinen Wert verlor, blieb Aave auf den Verlusten sitzen.
Wie viel hat Aave beim Kelp-Exploit verloren?
Aave hat rund 196 Mio. USD an notleidenden Krediten aus dem rsETH-WETH-Pool aufgenommen. Der TVL des Protokolls fiel um 6,6 Mrd. USD, primär wegen sicherheitsgetriebener Abhebungen – nicht durch direkte Verluste.
Werden stkAAVE-Holder Verluste erleiden?
Das ist möglich. Sollte der Umbrella Safety Reserve nicht ausreichen, könnte ein Teil der gestakten AAVE zur Schadensdeckung "geslashed" werden. Dieses Risiko ist den Stakern bewusst; eine Governance-Abstimmung steht noch aus (Stand 20. April).
Ist Aave nach diesem Vorfall weiterhin sicher?
Die Smart Contracts von Aave blieben intakt. Das Risiko betrifft nicht den Code der Plattform, sondern externe Collateral-Assets. Einleger sollten prüfen, welche Sicherheiten in den jeweiligen Pools aktiv sind; Restaking-Derivate sind komplexer als klassische Sicherheiten wie ETH oder USDC.
Fazit
Der Kelp-Exploit verursachte 196 Mio. USD an Kreditausfällen bei Aave und führte zu panikartigen Abflüssen im Wert von 6,6 Mrd. USD. Die technische Infrastruktur von Aave blieb unversehrt. Das Hauptrisiko liegt in der Kompositionsabhängigkeit von externen Protokollen, deren Token als Sicherheit dienen. Die nächsten Wochen entscheiden, wie Governance und Reservepool das Defizit adressieren. Ein schnelles, transparentes Vorgehen dürfte das Vertrauen wiederherstellen. Andernfalls werden viele Lending-Protokolle ihre Collateral-Standards grundsätzlich überdenken – wer strenger agiert, wird künftig das vorsichtige Kapital anziehen.
Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Finanz- oder Anlageberatung dar. Der Handel mit Kryptowährungen beinhaltet erhebliche Risiken. Führen Sie immer Ihre eigene Recherche durch, bevor Sie Entscheidungen treffen.
