Sicherheit

DeFis Vertrauensproblem: $292-Mio.-Hack und Manipulation legen tiefe Risse frei

DeFis Vertrauensproblem: $292-Mio.-Hack und Manipulation legen tiefe Risse frei

Ein $292-Millionen-Exploit der Cross-Chain-Bridge von Kelp DAO und ein mutmaßliches Pump-and-Dump-Schema rund um RaveDAO haben sich an einem einzigen Wochenende überschnitten und unterstreichen eine systemische Integritätskrise, die das gesamte Krypto-Ökosystem erfasst hat.

Wichtigste Erkenntnisse

  • Der $292-Millionen-Kelp-DAO-Bridge-Exploit ist einer der größten DeFi-Hacks des Jahres 2025, und seine systemischen Auswirkungen auf Aave zeigen, wie tief vernetzt — und damit wie fragil — die Multi-Chain-DeFi-Infrastruktur geworden ist [1].
  • Cross-Chain-Bridge-Sicherheit bleibt die gefährlichste ungelöste Schwachstelle des Sektors; Kelp DAOs zweiter Vorfall innerhalb von zwölf Monaten legt nahe, dass Sicherheitsnachrüstungen nach Vorfällen häufig unzureichend sind [1].
  • Der RaveDAO-Kollaps veranschaulicht, dass stark konzentrierte Token-Angebote strukturelle Voraussetzungen für Manipulation schaffen, unabhängig davon, ob Vorsatz rechtlich nachgewiesen werden kann — Privatanleger tragen in jedem Fall die Verluste [2].
  • On-Chain-Forensik durch unabhängige Ermittler wie ZachXBT entwickelt sich zu einer kritischen Rechenschaftsschicht, die Exchange-Untersuchungen und öffentliche Kontrolle schneller auslösen kann als traditionelle regulatorische Prozesse [2].
  • Bitcoins architektonische Einfachheit — keine Bridges, keine Team-Token-Zuteilungen, keine Oracle-Abhängigkeiten — unterscheidet es weiterhin von DeFi-Protokollen, deren Komplexität routinemäßig zur Belastung für Endnutzer wird.

Wenn die Risse alle auf einmal sichtbar werden: DeFis Wochenende der Abrechnung

Zwei voneinander unabhängige Vorfälle haben sich innerhalb eines einzigen Wochenendes ereignet, die zusammengenommen ein beunruhigendes Bild vom aktuellen Stand des dezentralisierten Finanzwesens zeichnen. Ein ausgeklügelter Bridge-Exploit entzog Kelp DAO nahezu 300 Millionen Dollar, während ein Token namens RAVE inmitten schwerwiegender Vorwürfe von Insider-Manipulation um mehr als 80 Prozent einbrach. Dies sind keine isolierten Missgeschicke — es sind Symptome struktureller Schwachstellen, die einen Sektor heimsuchen, der verspricht, das Finanzwesen neu zu erfinden. Für Bitcoin-Beobachter und ernsthafte Marktteilnehmer verdienen die Implikationen eine sorgfältige Betrachtung.

Der DeFi-Bereich hat sich seit langem auf der Grundlage von Vertrauenslosigkeit und Transparenz vermarktet. Dennoch haben die Ereignisse dieses vergangenen Wochenendes gezeigt, dass Smart Contract-Komplexität, zentralisierte Token-Verteilung und Cross-Chain-Infrastruktur nach wie vor fruchtbarer Boden für sowohl böswillige Angreifer von außen als auch für schlechte Akteure aus den eigenen Reihen sind. Wenn Milliarden von Dollar an Nutzergeldern auf Code beruhen, der in weniger als einer Stunde ausgenutzt werden kann, beginnt das Versprechen der Dezentralisierung hohl zu klingen.

Die Fakten

Um 17:35 UTC am Samstag kompromittierten unbekannte Angreifer die von LayerZero betriebene Cross-Chain-Bridge von Kelp DAO und siphonierten dabei rund 116.500 rsETH-Token im Wert von ungefähr 292 Millionen Dollar ab [1]. On-Chain-Daten bestätigten den Abfluss, und Blockchain-Forensik enthüllte, dass der Angriff kurz zuvor über Tornado Cash finanziert wurde — einen bekannten Privacy-Mixer, der häufig genutzt wird, um die Herkunft illegaler Gelder zu verschleiern [1].

Die Mechanik des Exploits war präzise: Der Angreifer rief eine spezifische Funktion innerhalb des LayerZero-Contracts auf, die den Bridge-Contract von Kelp DAO dazu veranlasste, die Token freizugeben [1]. Das Kelp-DAO-Team reagierte rund 46 Minuten nach dem Einbruch und aktivierte Notfall-Pause-Mechanismen für den rsETH-Token sowie die zugehörigen Oracle-Contracts im Mainnet und auf mehreren Layer-2-Netzwerken [1]. Diese Intervention blockierte erfolgreich zwei nachfolgende Versuche des Hackers, weitere 40.000 rsETH zu extrahieren [1]. „Heute haben wir verdächtige Aktivitäten im Zusammenhang mit rsETH festgestellt. Wir haben rsETH-Contracts im Mainnet und in mehreren Layer-2-Netzwerken vorübergehend pausiert. Wir untersuchen den Vorfall", erklärte Kelp auf X [1].

Die Auswirkungen weiteten sich schnell auf Aave aus, eines der größten Lending-Protokolle in DeFi, das alle rsETH-bezogenen Contracts in seinen Versionen V3 und V4 einfrierte [1]. Da rsETH als Sicherheit über mehr als 20 Netzwerke hinweg fungiert, schufen die gestohlenen Assets — die rund 18 Prozent des gesamten rsETH-Angebots repräsentieren — eine unmittelbare systemische Exponierung [1]. Aaves Team stellte klar, dass die eigenen Smart Contracts nicht betroffen seien, räumte jedoch ein, potenzielle Risiken für faule Schulden zu bewerten, wobei die DAO die Bereitstellung von Sicherheitsreserven als Absicherung erwägt, sollte ein Defizit bestätigt werden [1]. Der native Aave-Token fiel nach den Nachrichten um bis zu zehn Prozent, während rsETH zum Zeitpunkt der Veröffentlichung bei rund 2.452 Dollar gehandelt wurde [1]. Kelp DAO führt seine Untersuchung nun gemeinsam mit LayerZero, Unichain und externen Sicherheitsspezialisten durch — und bemerkenswert ist, dass dies bereits der zweite bedeutende Sicherheitsvorfall des Protokolls innerhalb von zwölf Monaten ist [1].

Gleichzeitig implodierte der mit RaveDAO verbundene RAVE-Token und stürzte an einem einzigen Tag um mehr als 80 Prozent ab, nachdem er in einem parabolischen neuntägigen Anstieg von 0,25 Dollar auf nahezu 28 Dollar gestiegen war und dabei kurzzeitig Litecoin aus den Top 20 nach Marktkapitalisierung verdrängt hatte [2]. Der On-Chain-Ermittler ZachXBT veröffentlichte Erkenntnisse, denen zufolge drei Gnosis-Safe-Wallets, die mit dem Team des Projekts in Verbindung stehen, rund 90 Prozent des Angebots von einer Milliarde RAVE-Token kontrollieren, wobei sich lediglich 24 Prozent der Token in echter Umlaufmenge befinden [2]. Er charakterisierte die Situation unmissverständlich: „Wir können diese offensichtliche Marktmanipulation durch Insider, die mehr als 90 % des RAVE-Angebots kontrollieren und damit Privatanleger ausnutzen, nicht weiter zulassen", und setzte eine Prämie von 10.000 Dollar für Hinweisgeber aus [2]. Der Zusammenbruch der Marktkapitalisierung vernichtete einen geschätzten Wert von 6,3 Milliarden Dollar [2]. Sowohl Binance-Co-CEO Richard Teng als auch Bitget-CEO Gracy Chen bestätigten aktive Untersuchungen der Handelsaktivitäten [2]. RaveDAO wies jede Verantwortung zurück, schrieb keine der Kursaktionen seinem Team zu und verwies stattdessen auf geplante Token-Liquidierungen zur Finanzierung von Betrieb, Marketing und Personaleinstellungen [2].

Analyse & Kontext

Der Kelp-DAO-Exploit fügt sich in ein inzwischen vertrautes Muster ein: Cross-Chain-Bridge-Infrastruktur bleibt eine der gefährlichsten Angriffsflächen im gesamten Krypto-Bereich. Der Ronin-Bridge-Hack (625 Millionen Dollar, 2022), der Wormhole-Exploit (320 Millionen Dollar, 2022) und der Nomad-Bridge-Kollaps (190 Millionen Dollar, 2022) haben einen düsteren Präzedenzfall geschaffen. Bridges sind architektonisch komplex, verbinden heterogene Blockchain-Umgebungen mit unterschiedlichen Sicherheitsmodellen, und diese Komplexität schafft Angriffsflächen, die selbst rigorose Audits übersehen können. Die Tatsache, dass Kelp DAO innerhalb von zwölf Monaten zwei Vorfälle erlitten hat — obwohl der erste keine Nutzerverluste zur Folge hatte — signalisiert, dass die Sicherheitslage des Teams nach dem ersten Warnschuss möglicherweise nicht ausreichend gehärtet wurde. Sechsundvierzig Minuten ist eine lobenswert schnelle Notfallreaktion, aber sie kam, nachdem der Großteil des Schadens bereits angerichtet worden war.

Die RaveDAO-Situation spricht ein anderes, aber ebenso persistentes Problem an: die Leichtigkeit, mit der konzentrierter Token-Besitz als organische Marktbegeisterung getarnt werden kann. Ein Projekt, das 90 Prozent seines eigenen Angebots kontrolliert, während nur 24 Prozent öffentlich zirkulieren, schafft Bedingungen, unter denen Preisfindung im Wesentlichen Theater ist. Exchanges, die Token mit solchen Verteilungen listen, tragen eine gewisse Mitverantwortung, und die Geschwindigkeit, mit der Binance und Bitget nach ZachXBTs öffentlichem Bericht Untersuchungen einleiteten, ist bemerkenswert — sie deutet darauf hin, dass On-Chain-Forensik zu einem echten Rechenschaftsmechanismus gereift ist, auch wenn sie erst nach dem entstandenen Schaden greift.

Für Bitcoin-fokussierte Investoren bekräftigen diese Ereignisse eine zentrale These: Bitcoins Einfachheit und seine eineinhalb Jahrzehnte währende Sicherheitsbilanz sind Merkmale, keine Einschränkungen. Bitcoin verfügt über keine Cross-Chain-Bridges, die im Auftrag von Nutzern Hunderte von Millionen in nativen Assets verwalten. Es gibt keine teamkontrollierten Token-Zuteilungen oder Oracle-Abhängigkeiten. Die Komplexität, die DeFi-Protokolle flexibel macht, ist dieselbe Komplexität, die sie fragil macht. Jedes Wochenende des DeFi-Chaos erweitert den narrativen Raum, den Bitcoin als einziger wirklich kampferprobter digitaler Vermögenswert einnimmt.

KI-gestützter Inhalt

Dieser Artikel wurde mit KI-Unterstützung erstellt. Alle Fakten stammen aus verifizierten Nachrichtenquellen.

Artikel teilen

Verwandte Artikel