Ein veralteter Zeitstempel, 26 Millionen Dollar weg: Im Inneren von Aaves Oracle-Zusammenbruch und die Abrechnung mit DeFi-Preis-Feeds

Am 10. März 2026 wachten vierunddreißig Aave-Nutzer auf und mussten feststellen, dass ihre vollkommen gesunden Lending-Positionen zwangsliquidiert worden waren. Kollektiv verloren sie rund 26,9 Millionen Dollar – nicht etwa, weil der Markt eingebrochen war oder sie ihr Risikomanagement vernachlässigt hatten, sondern weil ein einziger falsch konfigurierter Oracle-Parameter Aave mitteilte, dass Wrapped Staked Ether (wstETH) 2,85 % weniger wert sei als sein tatsächlicher Marktpreis. In der Welt des hochgehebelten DeFi-Lendings ist 2,85 % der Unterschied zwischen Solvenz und Katastrophe.

Der Vorfall hat eine der unangenehmsten Debatten des dezentralen Finanzwesens neu entfacht: Wie „dezentral“ ist ein 24-Milliarden-Dollar-Lending-Protokoll, das von einem Off-Chain-Prozess eines einzelnen Risikoanbieters abhängt, um seine Sicherheiten zu bewerten?

Was geschah: Ein Konfigurationsfehler mit Millionen-Dollar-Folgen

Die Ursache lässt sich auf das Correlated Asset Price Oracle (CAPO) von Aave zurückführen – ein Sicherheitsmechanismus, der entwickelt wurde, um Wechselkurswerte zu deckeln und Preismanipulationen zu verhindern. CAPO funktioniert, indem es ein Snapshot-Verhältnis und einen Snapshot-Zeitstempel verwendet, um die maximal zulässigen Wechselkurse zu berechnen. Wenn die beiden Parameter synchron sind, arbeitet das System wie vorgesehen. Am 10. März war dies nicht der Fall.

Chaos Labs, der primäre Risikomanagement-Anbieter von Aave, hatte ein Off-Chain-Update für das Snapshot-Verhältnis eingereicht. Doch hier liegt das entscheidende Detail: Der Smart Contract erzwingt eine Rate-Limiting-Beschränkung für das Verhältnis – es kann nur alle drei Tage um 3 % steigen. Der Snapshot-Zeitstempel unterliegt keiner solchen Beschränkung.

Als Chaos Labs die Parameter aktualisierte, wurde das Verhältnis bei etwa 1,1939 gedeckelt, während der Zeitstempel einen sieben Tage alten Wert widerspiegelte. Die beiden gerieten außer Synchronisation, und das Oracle geriet in einen inkonsistenten Zustand.

Das Ergebnis? CAPO meldete den wstETH / ETH-Wechselkurs mit etwa 1,1939 anstatt des tatsächlichen Marktkurses von etwa 1,228. Für Nutzer, die im Efficiency Mode (E-Mode) von Aave agierten – der aggressives Ausleihen gegen hochkorrelierte Assets ermöglicht –, reichte diese Abweichung von 2,85 % aus, um die Besicherungsschwellenwerte zu unterschreiten und automatische Liquidationen auszulösen.

Über 34 Konten hinweg wurden etwa 10.938 wstETH zwangsverkauft. Liquidator-Bots von Drittanbietern, die wie vorgesehen funktionierten, extrahierten rund 499 ETH Gewinn aus Positionen, die niemals hätten liquidiert werden dürfen.

Die Anatomie eines „sicheren“ Oracles, das fehlschlug

Was diesen Vorfall besonders besorgniserregend macht, ist die Tatsache, dass CAPO speziell als Sicherheitsmechanismus konzipiert wurde. Es existiert, um zu verhindern, dass Preisspitzen ausgenutzt werden. Die Ironie ist kaum zu übersehen: Ein System, das zum Schutz gegen künstliche Preisbewegungen gebaut wurde, hat letztlich selbst eine solche erzeugt.

Die technische Architektur offenbart einen subtilen, aber kritischen Designfehler. Chaos Labs betreibt einen Off-Chain-Prozess, der maximale Wechselkurs-Updates berechnet und übermittelt, während die Smart Contracts von BGD Labs als On-Chain-Leitplanke dienen. Das Problem entstand an der Schnittstelle zwischen diesen beiden Systemen.

Der Off-Chain-Prozess berücksichtigte nicht die On-Chain-Beschränkung, die Erhöhungen des Verhältnisses auf 3 % pro Drei-Tages-Fenster begrenzt. Als die Parameter voneinander abwichen, markierte keines der Systeme die Inkonsistenz.

Dieses Muster – ein Off-Chain-Prozess und eine On-Chain-Beschränkung, die nicht miteinander kommunizieren – ist nicht einzigartig für Aave. Es stellt eine systemische Schwachstelle bei DeFi-Protokollen dar, die auf hybriden Oracle-Architekturen basieren, bei denen von Menschen verwaltete Prozesse mit unveränderlicher Smart-Contract-Logik interagieren.

Ein Muster von Oracle-Fehlern im gesamten DeFi-Sektor

Der Vorfall bei Aave reiht sich in einen wachsenden Katalog von Oracle-bezogenen Verlusten ein:

• Moonwell (November 2025): Ein fehlerhafter rsETH / ETH-Oracle-Feed meldete Wrapped Restaked ETH mit etwa 5,8 Millionen Dollar pro Token, was einen Exploit in Höhe von 1 Million Dollar ermöglichte. Dasselbe Protokoll verlor im Monat zuvor 1,7 Millionen Dollar, als Oracle-DEX-Preislücken während eines Marktabsturzes ausgenutzt wurden.
• Ribbon Finance (Ende 2025): Eine Inkonsistenz der Dezimalpräzision in einem aktualisierten Oracle-System verursachte nur sechs Tage nach der Bereitstellung Verluste – was auf unzureichende Tests nach dem Upgrade hindeutet.
• UwU Lend (Juni 2024): Ein Angreifer manipulierte die sUSDE-Marktpreise auf Curve Finance und verzerrte die Oracle-Daten, auf die sich UwU Lend verließ, was zu Verlusten in Höhe von 19,3 Millionen Dollar führte.
• Morpho (2024): Ein falsch konfigurierter SCALE_FACTOR bewertete PAXG fälschlicherweise mit 2,6 Billionen Dollar pro Token anstatt seines tatsächlichen Preises, was es Angreifern ermöglichte, Liquidität durch überbesicherte Kredite abzuziehen.

Der gemeinsame Nenner? Jeder Vorfall nutzte eine Lücke zwischen dem, was ein Oracle meldete, und dem, was der Markt tatsächlich widerspiegelte. Ob durch Konfigurationsfehler, Manipulation oder Dezimal-Fehlanpassungen – die Oracle-Schicht bleibt der beständigste Schwachpunkt (Point of Failure) von DeFi.

Warum die Abhängigkeit von einem einzigen Oracle ein systemisches Risiko für DeFi darstellt

Aave verwaltet über 24 Milliarden Dollar an Total Value Locked (TVL) – was in etwa dem BIP von Island entspricht. Dennoch basieren seine Preis-Feeds für wichtige Vermögenswerte auf der Off-Chain-Berechnungspipeline eines einzigen Risikoanbieters. Dies ist kein spezifisches Problem von Chaos Labs, sondern ein Problem des Architekturmusters.

Die meisten großen DeFi-Lending-Protokolle folgen einer ähnlichen Struktur: ein primärer Oracle-Anbieter, ein Satz von Preis-Feeds, ein einziger Punkt, an dem ein Fehler das gesamte System kaskadenartig beeinflussen kann. Das KI-gesteuerte Kaskadenereignis vom Februar 2026, das DeFi-Verluste von über 400 Millionen Dollar verursachte, zeigte, wie schnell automatisierte Systeme ein einzelnes fehlerhaftes Signal über miteinander verbundene Protokolle hinweg verstärken können.

Der Oracle-Markt selbst spiegelt dieses Konzentrationsrisiko wider. Laut DefiLlama sichert Chainlink den Großteil des Gesamtwerts von DeFi ab, während alternative Anbieter wie Pyth, RedStone und API3 jeweils spezialisierte Nischen besetzen, aber keiner an die Dominanz von Chainlink heranreicht. Wenn die Architektur eines Anbieters einen Fehler aufweist, erstreckt sich der Explosionsradius auf jedes Protokoll, das von ihm abhängt.

Die Multi-Oracle-Zukunft: Aufkommende Architekturen

Die Branche beginnt zu reagieren. Mehrere Architekturmuster kristallisieren sich heraus:

Die Multi-Source-Preisverifizierung aggregiert Feeds von mehreren unabhängigen Oracle-Anbietern. Weicht eine Quelle signifikant von den anderen ab, kann das System entweder den Medianwert verwenden oder den Betrieb vollständig pausieren. Dieser Ansatz tauscht Latenz und Gas-Kosten gegen Ausfallsicherheit ein.

Circuit Breaker (Sicherungsschalter) gewinnen an Bedeutung — automatisierte Mechanismen, die Liquidationen pausieren, wenn Preisbewegungen innerhalb eines kurzen Zeitfensters vordefinierte Schwellenwerte überschreiten. Hätte Aave einen durch die schnelle wstETH-Neubewertung ausgelösten Circuit Breaker implementiert, hätten die Liquidationen in Höhe von 26,9 Millionen $ pausiert und überprüft werden können.

First-Party-Oracles, die von Anbietern wie API3 gefördert werden, ermöglichen es Datenanbietern, Informationen ohne Zwischenhändler direkt an Smart Contracts zu liefern. Dies eliminiert das „Stille-Post-Prinzip“, bei dem Daten mehrere Off-Chain-Ebenen durchlaufen, und reduziert so die Angriffsfläche für Konfigurationsfehler.

Pull-Modell-Oracles, wie sie von Pyth und RedStone verwendet werden, verlagern die Aktualisierungsverantwortung auf den Konsumenten. Anstatt Preise in festen Intervallen On-Chain zu pushen, ermöglichen diese Systeme Smart Contracts, den neuesten Preis bei Bedarf abzufragen, was das Risiko veralteter Daten verringert und die Kosten senkt.

Die Reaktion: Entschädigung und Governance in Aktion

Chaos Labs handelte schnell, um den Schaden zu begrenzen. Sie reduzierten vorübergehend die wstETH-Leih-Obergrenzen (Borrow Caps), richteten die Snapshot-Parameter manuell neu aus und stellten die korrekten Oracle-Werte wieder her. Dem Protokoll selbst entstanden keine uneinbringlichen Forderungen (Bad Debt).

Die Aave DAO leitete daraufhin Schritte ein, um die betroffenen Nutzer zu entschädigen. Ein Governance-Vorschlag — [Direct To AIP] wstETH CAPO Oracle Incident User Reimbursement — wurde eingereicht, um die 34 betroffenen Konten zu entschädigen. Die Gesamterstattung beläuft sich auf 512,19 ETH, finanziert durch 141,5 ETH, die aus dem Vorfall zurückgewonnen wurden, und bis zu 345 ETH aus der DAO-Schatzkammer. Die Nettokosten für die DAO: etwa 357,56 ETH, eine Zahl, die voraussichtlich sinken wird, wenn weitere Rückgewinnungen bearbeitet werden.

Diese Reaktion zeigt einen der echten Vorteile von DeFi gegenüber dem traditionellen Finanzwesen: transparente Reaktion auf Vorfälle, öffentlich überprüfbare Entschädigungen und Community-Governance bei der Fehlerbehebung. In einer traditionellen Bank würde ein vergleichbarer Konfigurationsfehler hinter verschlossenen Türen behandelt, wobei betroffene Kunden potenziell monatelang auf eine Lösung warten müssten.

Was dies für das nächste Kapitel von DeFi bedeutet

Der Aave-Oracle-Vorfall ist ein Wendepunkt — nicht weil er der größte DeFi-Verlust war (das war er nicht), sondern weil er aufzeigte, wie dünn die Sicherheitsmarge in Systemen ist, die Milliarden von Dollar verwalten. Eine Preisabweichung von 2,85 %. Ein asynchroner Zeitstempel. Vierunddreißig Nutzer, die 26,9 Millionen $ verlieren. Dies ist das Risiko, wenn die Oracle-Infrastruktur versagt.

Damit DeFi zu der Finanzinfrastruktur für institutionelle Ansprüche heranreifen kann, die seine Befürworter visionieren, müssen sich drei Dinge ändern:

1. Multi-Oracle-Architekturen müssen zum Standard werden. Kein einzelner Anbieter, egal wie renommiert, sollte die alleinige Wahrheitsquelle eines Protokolls für die Preisgestaltung von Vermögenswerten im Wert von Milliarden sein.

2. On-Chain-Circuit-Breaker müssen unverhandelbar sein. Automatisierte Pausen während anomaler Preisereignisse verschaffen Zeit für eine menschliche Überprüfung und verhindern kaskadierende Liquidationen.

3. Off-Chain- und On-Chain-Systeme müssen gemeinsam formal verifiziert werden. Die Lücke zwischen dem Off-Chain-Prozess von Chaos Labs und den On-Chain-Beschränkungen von BGD war ein Koordinationsfehler, kein Code-Bug. Die formale Verifizierung der Interaktion zwischen diesen Ebenen — nicht nur der Smart Contracts allein — ist unerlässlich.

Der wstETH-Oracle-Vorfall kostete 26,9 Millionen $. Der nächste Oracle-Fehler in einem komplexeren, stärker vernetzten DeFi-Ökosystem könnte weitaus mehr kosten. Die Frage ist nicht, ob die Oracle-Infrastruktur von DeFi erneut getestet wird — sondern ob die Branche die Redundanz aufgebaut haben wird, um dies zu überstehen.

BlockEden.xyz bietet hochverfügbare Multi-Chain-RPC- und API-Infrastrukturen, die für die Zuverlässigkeit ausgelegt sind, die DeFi-Protokolle erfordern. Entdecken Sie unsere Node-Services, um auf einer Infrastruktur aufzubauen, die auf Fehlertoleranz ausgelegt ist.