Das Sicherheitsteam von Aave, dem führenden DeFi-Protokoll, verlässt das Unternehmen – wer wird das nächste „Black Swan“-Ereignis im Bärenmarkt überstehen?

Originaltitel: „Aave, das größte DeFi-Protokoll, verliert sein Sicherheitsteam – wer wird den nächsten ‚Black Swan‘ im Bärenmarkt bewältigen?“

Originalquelle: DeepTech TechFlow

Das größte Kreditprotokoll im DeFi-Bereich ist von einem stillen Streik des Sicherheitsteams betroffen.

Gestern hat ein Unternehmen namens Chaos Labs einen Abschiedsbrief verschickt, in dem es die Beendigung seiner Partnerschaft mit Aave bekannt gab. Den meisten Nutzern ist dieser Name vielleicht noch unbekannt, doch in den letzten drei Jahren wurden alle Besicherungsquoten, Liquidationsschwellen und Risikoparameter für jeden Kredit auf Aave von diesem Unternehmen festgelegt.

Außerdem entwickelten sie ein automatisiertes System namens „Risk Oracle“, das Parameter in Echtzeit an die Marktbedingungen anpassen kann, wodurch Aave von einigen wenigen Märkten auf über 250 Märkte auf 19 Blockchains expandieren konnte. Drei Jahre lang die Verwaltung eines Fondsvolumens von mehreren hundert Milliarden Dollar, ohne einen einzigen Zahlungsausfall.

Im Wesentlichen laufen auf Aave Smart Contracts, doch die tatsächlichen Zahlen in den Verträgen wurden stets von Chaos Labs überwacht.

Der Abschiedsbrief von CEO Omer Goldberg war gut geschrieben, und die Erfolge wurden ausführlich beschrieben. Der TVL stieg von 5,2 Milliarden Dollar auf über 26 Milliarden Dollar, wobei die Gesamteinlagen 2,5 Billionen Dollar überstiegen und die Liquidationen über 2 Milliarden Dollar lagen...

Dann sagte er: „Wir haben von uns aus vorgeschlagen, den Vertrag zu kündigen.“ Niemand hat sie dazu gedrängt, und der Vertrag stand nicht zur Verlängerung an. Gleichzeitig reagierte Aave-Gründer Stani Kulechov gelassen und erklärte, das Protokoll laufe wie gewohnt weiter und ein anderer Risikodienstleister, LlamaRisk, werde die Aufgaben übernehmen.

Es klingt, als wäre nichts passiert.

Dass jedoch ein Risikokontrollteam, das seit drei Jahren unfallfrei gearbeitet hat, freiwillig das größte DeFi-Kreditprotokoll verlässt, würde man in der traditionellen Finanzwelt als schlechtes Omen bezeichnen.

In der Erklärung erklärte Goldberg, bei der Meinungsverschiedenheit gehe es nicht um Geld, sondern um grundlegende Unterschiede in den Risikomanagementprinzipien der beiden Parteien.

Weniger Geld, mehr Unmut

Um das Team zu halten, schlug Aave Labs vor, das Jahresbudget von Chaos Labs von 3 Millionen Dollar auf 5 Millionen Dollar zu erhöhen. Dennoch entschied sich Chaos Labs, das Unternehmen zu verlassen.

In der Erklärung nannte Goldberg drei Gründe, die zu diesem Rücktritt führen müssten, doch wenn man sie liest, wird man feststellen, dass sie alle auf dieselbe Schlussfolgerung hindeuten.

An erster Stelle steht das Geld. Der Gesamtumsatz von Aave belief sich im Jahr 2025 auf 142 Millionen US-Dollar, wobei 3 Millionen US-Dollar für Risiken vorgesehen waren, was einem Anteil von 2 % entspricht. Der traditionelle Bankensektor wendet in der Regel 6 % bis 10 % seines Budgets für Compliance und Risikomanagement auf.

Goldberg erwähnte, dass sie bei diesem Vorhaben in den letzten drei Jahren Verluste gemacht hätten und dass sie selbst bei einer Aufstockung des Budgets auf 5 Millionen Dollar immer noch mit Verlust arbeiteten. Er war der Ansicht, dass 8 Millionen Dollar ein angemessener Mindestbetrag wären. Die Kasse von Aave belief sich auf 140 Millionen Dollar, und Aave Labs hatte gerade einen Finanzierungsantrag in Höhe von 50 Millionen Dollar für sich selbst genehmigt; es scheint also, als sei das Protokoll nicht pleite, sondern lediglich nicht bereit, dem Sicherheitsteam einen so hohen Betrag zuzuweisen.

Das Zweite ist das Handeln. Aave führt derzeit ein Upgrade von Version 3 auf Version 4 durch, wobei die zugrunde liegende Architektur, die Smart Contracts und die Liquidationslogik komplett neu geschrieben werden. Goldberg erwähnte, dass V4 und V3 nur den Namen gemeinsam haben. Während der Umstellung laufen beide Systeme parallel, und der Arbeitsaufwand für das Risikomanagement wird nicht halbiert, sondern verdoppelt.

Der dritte Punkt ist die Rechenschaftspflicht. Die rechtlichen Pflichten von DeFi-Risikoexperten sind derzeit nicht klar definiert, da es weder einen regulatorischen Rahmen noch Safe-Harbor-Bestimmungen gibt. Wenn alles reibungslos läuft, ist man unsichtbar, aber sobald etwas schiefgeht, ist man der Erste, der zur Rechenschaft gezogen wird. Mit Goldbergs eigenen Worten: Wenn das Aufwärtspotenzial gering ist und das Abwärtsrisiko unbegrenzt ist, dann ist die Fortführung des Geschäftsbetriebs an sich schon eine schlechte Entscheidung im Hinblick auf das Risikomanagement.

Dem Autor fällt es schwer, diese Aussage zu widerlegen. Ein Vertrag mit einem Jahresumsatz von 140 Millionen Dollar, bei dem einem Team, das Vermögenswerte in Milliardenhöhe verwaltet, ein Budget von 2 % zugewiesen wird, und dem dann aufgegeben wird, doppelt so viel Arbeit zu leisten – ohne jeglichen rechtlichen Schutz, falls etwas schiefgeht.

Was würdest du in dieser Situation tun?

Natürlich sieht die andere Seite der Medaille ganz anders aus. Die Antwort von Kulechov, dem Gründer von Aave Labs, auf X lässt vermuten, dass Chaos Labs sein Risikoberatungsgeschäft in letzter Zeit zurückgefahren hat und bereits damit begonnen hat, die Zusammenarbeit mit anderen Protokollen einzuschränken.

Damit ist impliziert, dass die Gründe in dem Abschiedsbrief eher dazu dienen, eine glaubwürdige Begründung für das Weggehen zu liefern.

Ob es sich nun um eine Meinungsverschiedenheit in Grundsatzfragen handelt oder darum, dass zu viel versprochen und zu wenig gehalten wurde – Außenstehende können das nicht beurteilen. Eines ist jedoch sicher: Chaos Labs ist nicht das einzige Unternehmen, das gegangen ist.

Über Nacht einsetzender Regen in einem Bärenmarkt

Aave heißt zwar immer noch Aave, doch die Gruppe der Entwickler hat das Projekt in den letzten zwei Monaten nach und nach verlassen.

Im Februar dieses Jahres gab das Kernentwicklungsteam von Aave V3, BGD Labs, bekannt, dass es seinen Vertrag nicht verlängern werde. Das Unternehmen wurde von Ernesto Boado, dem ehemaligen CTO von Aave, gegründet, und der Großteil des Codes, des Governance-Systems sowie der kettenübergreifende Einsatz von V3 stammen aus seiner Feder. Nach vier Jahren gingen sie, als ihr Vertrag auslief.

Die von BGD angeführte Begründung war klar und deutlich. Aave Labs konzentriert die Macht in seinen eigenen Händen, wobei die Entwicklung von V4, die Markenressourcen und die Social-Media-Konten alle von Aave Labs kontrolliert werden. BGD war der Ansicht, dass sie kein Mitspracherecht bei der Gestaltung hätten, aber dennoch für die Ergebnisse zur Verantwortung gezogen würden. In einem traditionellen Unternehmen nennt man das „ausgegrenzt werden“.

Einen Monat später gab auch ACI, der aktivste Dienstleister im Aave-Governance-System, seinen Rückzug bekannt. Dieses achtköpfige Team hatte über einen Zeitraum von drei Jahren 61 % der Governance-Vorschläge von Aave vorangetrieben. Gründer Marc Zeller erklärte in seinem Abschiedsbrief ganz offen, dass Aave Labs sein Stimmrecht nutzen könnte, um seinen eigenen Haushalt zu verabschieden, wodurch unabhängige Dienstleister in diesem System bedeutungslos würden.

Zwei Abschiedsbriefe innerhalb von zwei Monaten: In dem einen hieß es, man sei ausgegrenzt worden, in dem anderen, die Spielregeln seien unfair.

Dann ereignete sich im März dieses Jahres ein weiterer Vorfall.

Ein Konfigurationsfehler im von Chaos Labs entwickelten Risikomanagementsystem führte dazu, dass Positionen im Wert von rund 27 Millionen Dollar fälschlicherweise liquidiert wurden, wovon mindestens 34 Nutzer betroffen waren. Chaos Labs erklärte, dass keine Forderungsausfälle entstanden seien und die betroffenen Nutzer entschädigt würden.

Letztendlich trug niemand die rechtliche Verantwortung für diesen Vorfall, da es in der DeFi schlichtweg keine rechtliche Definition von Haftung gibt.

Wenn man jedoch Hunderte von Milliarden Dollar verwaltet, kann ein einziger Fehler bei einem Parameter zu Schwankungen im Fondswert in Millionenhöhe führen, ohne dass Sie dabei praktisch jeglichen rechtlichen Schutz genießen. Das Risikomanagement-Team hat in seinem Abschiedsbrief wiederholt auf dieses Thema hingewiesen.

Damit stützte sich Aave in der V3-Ära auf vier Säulen: Entwicklung, Governance, Risikomanagement und finanzielles Wachstum. Nun sind die ersten drei Säulen alle verschwunden.

Im Abschiedsbrief des Risikomanagement-Teams findet sich eine Metapher, die als „Theseus’ Schiff“ bezeichnet wird. Wenn jede Planke eines Schiffes ausgetauscht wird, ist es dann immer noch dasselbe Schiff?

Der Name Aave existiert weiterhin, die Verträge laufen noch, und der TVL steigt weiterhin an. Aber das Team, das den Code geschrieben hat, ist nicht mehr da, das Team, das die Verwaltung übernommen hat, ist nicht mehr da, und das Team, das das Risikomanagement übernommen hat, ist nicht mehr da. Die Nutzer zahlen weiterhin wie gewohnt Geld ein und leihen es sich aus, vielleicht ohne zu wissen, dass unter der Oberfläche alles komplett umgestaltet wurde.

Was an dieser Situation wirklich unangenehm ist, ist nicht, wer gegangen ist, sondern die Tatsache, dass sich nach ihrem Weggang nichts geändert hat.

Der Nutzer öffnet die Seite, tätigt Einzahlungen, nimmt Kredite auf, die Zinssätze sind normal, die Liquidation verläuft normal, alles läuft wie gewohnt. Wenn niemand gezielt das Governance-Forum liest, würden die meisten Nutzer nicht wissen, was in den letzten zwei Monaten passiert ist.

Kurzfristig ist vielleicht tatsächlich alles in Ordnung. Smart Contracts laufen weiter, auch wenn das Risikoteam nicht mehr da ist, und die festgelegten Parameter ändern sich nicht von selbst. Aave verfügt nach wie vor über einen Risikodienstleister, LlamaRisk, sodass das Unternehmen nicht völlig ungeschützt ist.

Risikomanagement ist jedoch kein einmaliges Projekt. Das Festlegen von Parametern bedeutet nicht, dass diese immer geeignet sind; der Markt verändert sich, die Vermögenswerte verändern sich, und auch die Angriffsvektoren in der Blockchain ändern sich. Wenn so etwas das nächste Mal passiert, weiß niemand, ob das neue Team, das die Leitung übernimmt, ebenso schnell reagieren kann.

Außerdem ist jetzt keine ruhige Zeit.

Der Kurs des AAVE-Tokens ist von seinem Höchststand von 356 US-Dollar im August letzten Jahres auf derzeit rund 96 US-Dollar gefallen, was einem Rückgang von über 70 % entspricht. Der gesamte DeFi-Kreditbereich schrumpft, die On-Chain-Aktivitäten nehmen ab und die Einnahmen der Protokolle stehen unter Druck.

In einem Bullenmarkt bleibt das Risikomanagement unsichtbar, und niemand applaudiert, weil „heute nichts passiert ist“. In einem Bärenmarkt ist Risikomanagement unverzichtbar, da die Kurse stark schwanken, die Liquidationshäufigkeit zunimmt und die Wahrscheinlichkeit eines „Black Swan“-Ereignisses steigt – genau das ist die Phase, in der die Erfahrung und Reaktionsgeschwindigkeit des Risikoteams am stärksten auf die Probe gestellt werden.

Ironischerweise ist gerade in dieser Phase die erfahrenste Gruppe von Mitarbeitern bereits gegangen.

Das Risikoteam schrieb in seinem Abschiedsbrief einen Satz, den der Verfasser für sehr treffend hält. Der Grund, warum Aave diese aggressiveren Konkurrenten übertrumpfen kann, liegt nicht darin, dass es mehr Funktionen bietet, sondern darin, dass die anderen gescheitert sind und Aave nicht. In diesem Markt ist das Überleben das Produkt.

Das Problem ist, dass die Menschen, die dafür gesorgt haben, dass es erhalten blieb, möglicherweise nicht mehr da sind.

Link zum Originalartikel