Andre Cronje: Ein Diebstahl von 200 Mio. $ in rsETH könnte auf ein kompromittiertes oder falsch konfiguriertes privates Schlüssel zurückzuführen sein – Warum ETH aus Aave abgezogen wurde, um die Liquidität zu schützen

19. Apr. 2026

Andre Cronje: Ein Diebstahl von 200 Mio. $ in rsETH könnte auf ein kompromittiertes oder falsch konfiguriertes privates Schlüssel zurückzuführen sein – Warum ETH aus Aave abgezogen wurde, um die Liquidität zu schützen

Am 19. April 2026 erklärte Andre Cronje, Mitbegründer von Sonic Labs und Gründer von Flying Tulip, dass das Team den „L0 / rsETH“-Vorfall weiterhin untersuche. Seine vorläufige Einschätzung: Die Ursache könnte ein kompromittierter privater Schlüssel oder ein Konfigurationsfehler sein, der zum Diebstahl von rsETH im Wert von rund 200 Mio. $ führte. Er fügte hinzu, dass der Angreifer den gestohlenen rsETH anschließend bei Aave hinterlegt habe, um ETH zu leihen, maßgeblich weil die Spot-Liquidität von rsETH für eine sofortige Entlastung ohne größere Slippage unzureichend war.

Während die Untersuchung andauert, ist dieser Vorfall bereits eine rechtzeitige Erinnerung an eine Realität im DeFi-Bereich von 2025–2026: Komponierbarkeit kann das Versagen eines Protokolls zum Bilanzproblem eines anderen Protokolls machen, insbesondere wenn der „Vermögenswert“ überbrückt oder wiedereingesetzt wird.

Für einen breiteren On-Chain-Kontext und Zeitpläne, die von unabhängigen Analysten berichtet wurden, siehe diese Rekonstruktion des Exploit-Pfads und des Aave-Teils: TechFlows Vorfall-Zeitplan. Für Berichte auf Marktebene über die daraus resultierende Aave-Exposition und Notfallmaßnahmen siehe: Forbes-Berichterstattung über das Aave rsETH-Risiko durch faule Schulden.

Was wahrscheinlich passiert ist (und warum rsETH auf Aave gelandet ist)

Selbst wenn ein Angreifer einen Token stiehlt, ist der Ausstieg aus dieser Token-Position oft der schwierigste Teil. Wenn der Markt dünn ist, kann der Verkauf großer Mengen den Preis kollabieren lassen, Aufmerksamkeit erregen und die Erträge reduzieren.

Deshalb sehen wir immer wieder ein Muster bei Exploits in den Jahren 2025–2026:

  1. Exploit / Minten / Stehlen eines Vermögenswerts (oft über eine Brücke, einen Orakel oder einen privilegierten Schlüssel).
  2. Verwendung dieses Vermögenswerts als Sicherheit auf einem großen Kreditmarktplatz (da die Kreditplattform den Vermögenswert über ihr Listing und ihr Oracle-System weiterhin „anerkennt“).
  3. Ausleihen des liquidesten Blue-Chip-Vermögenswerts (ETH / WETH oder wichtige Stablecoins).
  4. Bewegen des geliehenen Vermögenswerts an einen anderen Ort, wodurch der Kreditmarktplatz mit potenziellen faulen Schulden zurückbleibt, wenn die Sicherheit beeinträchtigt wird.

In diesem Fall deuten Cronjes Zusammenfassung genau darauf hin: Der Angreifer soll rsETH auf Aave zur Aufnahme von ETH genutzt haben, da die rsETH-Liquidität nicht tief genug war, um ihn direkt abzuwickeln.

Das ist auch der Grund, warum Teams und große Liquiditätsanbieter sich während eines sich schnell entwickelnden Ereignisses entscheiden können, ETH von Aave abzuziehen: nicht unbedingt, weil ihre eigene Position unsicher ist, sondern weil die systemweite ETH-Liquidität zur knappen Ressource werden kann, wenn alle versuchen, sich gleichzeitig zu deleveragen oder abzuheben.

„Technisch besichert“ ist nicht dasselbe wie „sicher“

Ein Detail in Cronjes Kommentar ist wichtig: Die Aave-Position wurde als technisch durch Sicherheiten gedeckt beschrieben.

Das kann in der Aave-Buchhaltung zutreffen (überbesicherte Position, LTV-Regeln, Liquidationsschwellenwerte). In der Praxis kann es jedoch fehlschlagen, wenn eines der folgenden Ereignisse eintritt:

  • Glaubwürdigkeit der Sicherheit bricht zusammen: Wenn rsETH ungedeckt ist oder sein Einlösungsmechanismus ausgesetzt wird, kann sein „Marktwert“ schneller zusammenbrechen, als Liquidatoren eingreifen können.
  • Orakel-Verzögerung vs. reale Liquidität: Der Orakel-Preis kann höher bleiben als das, was der Markt bei größeren Mengen tatsächlich erzielen kann.
  • Liquidität verdampft unter Stress: Liquidierungen erfordern Käufer; in Panik verschwinden die Gebote.
  • Risikokontrollen greifen: Märkte können eingefroren werden, LTV auf 0 gesetzt oder die Kreditaufnahme deaktiviert werden, was „normale“ Liquidierungsströme begrenzt.

Aave hat zuvor vorsorgliche Maßnahmen ergriffen, wie z. B. das Einfrieren von Vermögenswerten und das Setzen des LTV auf 0, um systemische Risiken einzudämmen. Ein Beispiel dafür, wie diese Kontrollen in der Praxis diskutiert und umgesetzt werden, finden Sie in diesem Governance-Thread: Aave Governance-Diskussion über die vorsorgliche Einfrierung von rsETH.

Warum die „L0 / Brückenschicht“ 2026 wichtiger denn je ist

Das Schlüsselwort „L0“ in Cronjes Aussage wird allgemein als Verweis auf die Interoperabilitätsinfrastruktur für Cross-Chain-Messaging interpretiert. Im Umfeld nach 2025 sind Brücken und Messaging-Schichten keine reine „Infrastruktur“ mehr – sie sind Teil des Vertrauensmodells des Vermögenswerts.

Wenn rsETH auf einer Zielkette aufgrund von Folgendem gemintet/freigegeben werden kann:

  • kompromittierte Admin-Schlüssel,
  • falsch konfigurierte Endpunkte,
  • oder unzureichende Validierung von Cross-Chain-Nachrichten,

dann kann der Token zwar On-Chain existieren, aber wirtschaftlich ungedeckt sein. Sobald ein solcher Token irgendwo als Sicherheit akzeptiert wird, ist die Ansteckung unmittelbar.

Wenn Sie verstehen möchten, warum Cross-Chain-Risiken weiterhin eine Top-Angriffsfläche darstellen, beginnen Sie mit den technischen Ressourcen und Architektur beschreibungen von LayerZero selbst: LayerZero-Dokumentation.

Was Benutzer gerade jetzt fragen (und was zu tun ist)

1) „Bin ich gefährdet, wenn ich nie rsETH gehalten habe?“

Möglicherweise. Die Gefährdung ist oft indirekt:

  • Bereitstellung von ETH / WETH auf Kreditmärkten, die gegen rsETH verliehen werden können,
  • Halten von Vault-Anteilen, die Sicherheiten über Aave leiten,
  • oder in gehebelten Loop-Strategien, bei denen die Liquidationsliquidität von gesunden Märkten abhängt.

Aktion: Überprüfen Sie Ihre DeFi-Positionen und reduzieren Sie den Hebel, wenn Ihre Sicherheitsmarge gering ist.

2) „Sollte ich ETH von Aave abziehen?“

Es gibt keine universelle Antwort. Aber bei Zwischenfällen, bei denen ein wichtiger Sicherheitenwert in Frage gestellt wird, kann die Liquidität reflexiv werden: Benutzer ziehen ab, weil andere abziehen.

Aktion: Wenn Sie auf sofortige Liquidität angewiesen sind (z. B. für Lohnabrechnungen, Margen oder aktiven Handel), sollten Sie in Erwägung ziehen, einen höheren Puffer außerhalb der Kreditmärkte zu halten, bis sich die Situation stabilisiert hat.

3) „Wie minimiere ich Verluste durch Genehmigungen im Chaos?“

Bei volatilen Zwischenfällen nehmen Phishing und böswillige Genehmigungsaufforderungen stark zu.

Aktion: Überprüfen und widerrufen Sie unnötige Token-Genehmigungen regelmäßig mit einem seriösen Allowance-Tool wie Revoke.cash und vermeiden Sie die Unterzeichnung von Transaktionen, die Sie nicht vollständig verstehen.

Sicherheitsempfehlungen für Teams: Private Schlüssel und „langweilige“ Konfigurationen sind immer noch das Hauptrisiko Nr. 1

Cronjes vorläufige Einschätzung (kompromittierter privater Schlüssel oder Fehlkonfiguration) stimmt mit einer harten Wahrheit überein: Viele katastrophale Verluste sind keine neuartigen Smart Contract-Bugs – es sind fehler in der Betriebssicherheit.

Praktische Kontrollen, die 2026 wichtig sind:

  • Rollen mit geringsten Rechten und zeitgesteuerte Admin-Aktionen,
  • Multi-Signatur-Governance für Upgrades und Bridge-Parameter,
  • gehärtete Schlüsselspeicherung (offline oder HSM-gestützt),
  • Überwachung und Alarmierung von Konfigurationsänderungen,
  • und „Notfall"-Playbooks, die vor einem Zwischenfall getestet wurden.

Selbst mit Audits kann ein kompromittierter Deployer-Schlüssel oder ein einziger falscher Allowlist-Eintrag Monate an Engineering zunichtemachen.

Wo OneKey ins Spiel kommt: Selbstverwahrung reduziert das Schlüsselrisiko, aber nicht das Protokollrisiko

Dieser Vorfall ist ein guter Zeitpunkt, um zwei Risikokategorien zu trennen:

  • Schlüsselrisiko (Benutzerseite): Leckage von Seed-Phrasen, Malware, Clipboard-Angriffe, Phishing-Signaturen.
  • Protokollrisiko (Systemseite): Designfehler von Brücken, Oracle-Probleme, Beeinträchtigung von Sicherheiten, Governance-Ausfälle.

Eine Hardware-Wallet hilft hauptsächlich bei der ersten Kategorie. Wenn Sie DeFi aktiv nutzen, kann OneKey eine praktische Ebene zur Isolierung privater Schlüssel von internetverbundenen Geräten, zur Erzwingung vertrauenswürdiger Transaktionsbestätigungen und zur Unterstützung eines sichereren Selbstverwahrungs-Workflows über verschiedene Ketten hinweg bieten – insbesondere wenn sich die Märkte schnell bewegen und Angreifer am aktivsten sind.

Allerdings kann keine Hardware-Wallet eine defekte Brücke oder einen ungedeckten Sicherheiten-Token „reparieren“. Die beste Haltung ist vielschichtig: Sichere Schlüssel + konservativer Hebel + kontinuierliche Überwachung.

Abschließende Gedanken

Das rsETH-Ereignis unterstreicht ein DeFi-Thema von 2025–2026: Da Restaking-Assets und Cross-Chain-Liquidität Mainstream werden, konzentriert sich das Risiko an den Rändern – Brücken, Konfigurationen und Betriebskontrollen – und breitet sich dann in die liquidesten Hubs wie Aave aus.

Bis die endgültigen Post-Mortems veröffentlicht werden, behandeln Sie frühe Zahlen und Zuschreibungen als vorläufig. Aber das Vorgehen ist bereits vertraut: Assets mit dünner Liquidität werden als Sicherheiten missbraucht, und die liquidesten Märkte absorbieren den Schock.

Wenn Sie heute DeFi entwickeln oder nutzen, machen Sie die „langweilige Sicherheit“ unverzichtbar – und halten Sie Ihre privaten Schlüssel wirklich privat.

Schützen Sie Ihre Kryptojourney mit OneKey

View details for OneKeyOneKey

OneKey

Die fortschrittlichste Hardware-Wallet der Welt.

View details for App herunterladenApp herunterladen

App herunterladen

Betrugsalarme. Alle Coins unterstützt.

View details for OneKey SifuOneKey Sifu

OneKey Sifu

Krypto-Klarheit – Eine Anruf entfernt.