Aave ziet vertrouwen wegzakken na rsETH-crisis, terwijl Spark groeit

Aave is nog altijd niet hersteld van de rsETH-crisis die op 18 april losbarstte. Waar de eerste aandacht uitging naar het security-incident zelf, kijkt de markt inmiddels vooral naar iets anders: de aanhoudende uitstroom van kapitaal. DefiLlama zet Aave nu op $15,423 miljard aan total value locked, terwijl The Defiant eerder deze week nog schreef dat het protocol rond het begin van de crisis boven de $26 miljard zat.

Belangrijk daarbij is dat Aave zelf niet werd gehackt. In de eerste governance-update schreef het protocol expliciet dat alle Aave-pools “safe and fully operational” bleven en dat het incident niet voortkwam uit een kwetsbaarheid in Aave zelf, maar was gekoppeld aan rsETH. In het latere incident report werd die oorzaak verder uitgewerkt: op 18 april om 17:35 UTC werd Kelp’s LayerZero V2-route van Unichain naar Ethereum misbruikt via een 1-of-1 DVN, waardoor een forged inbound packet werd geverifieerd en 116.500 rsETH vrijkwam zonder corresponderende burn aan de bronzijde.

Een groot deel van die ongedekte rsETH belandde daarna juist op Aave. Volgens het incident report werd 89.567 rsETH als onderpand gestort, waarna de aanvaller daartegenover ongeveer 82.650 WETH en 821 wstETH leende. Daarmee sloeg een probleem in een bridge- en assetconfiguratie direct over naar de liquiditeit van een van de grootste leenprotocollen van DeFi.

Aave reageerde snel. In de eerste risicomelding staat dat de Guardian vanaf 18:52 UTC begon met het bevriezen van rsETH- en wrsETH-markten op alle relevante deployments. In het uitgebreidere incident report wordt die fase omschreven als een freeze rond 19:00 UTC, waarbij de LTV op nul werd gezet en nieuwe supply en borrowing werden uitgezet. Op 20 april om 02:00 UTC volgde ook een freeze van WETH op Core, Prime, Arbitrum, Base, Mantle en Linea om verdere besmetting naar andere reserves te beperken.

Toch werd daarna iets anders het dominante marktverhaal: vertrouwen. The Defiant meldde op 22 april dat Aave’s TVL sinds de exploit met ongeveer $10 miljard was gedaald tot iets boven de $16 miljard, terwijl SparkLend in dezelfde periode meer dan $1,4 miljard aan nieuwe deposits zag binnenkomen. De live cijfers op DefiLlama laten zien dat die rotatie sindsdien verder is opgelopen: Spark staat nu op $5,027 miljard TVL en $1,721 miljard aan actieve leningen.

Daarmee verschuift het narratief van “hack” naar “kapitaalvlucht”. In gewone taal: grote depositors en liquiditeitsverschaffers lijken niet alleen naar de directe schade te kijken, maar vooral naar de vraag waar kapitaal in een stresssituatie het veiligst staat. Die interpretatie is geen hard on-chain label, maar volgt wel logisch uit de combinatie van de Aave-freezes, de forse TVL-daling bij Aave en de gelijktijdige instroom bij Spark.

De financiële schade voor Aave is bovendien nog niet definitief vastgesteld. In het incident report werkt Aave met twee scenario’s. In scenario 1 ontstaat ongeveer $123,7 miljoen aan bad debt. In scenario 2 loopt dat op tot ongeveer $230,1 miljoen. Aave schrijft daarbij zelf dat de twee scenario’s afhangen van hoe de verliezen van de drained adapter uiteindelijk worden gealloceerd.

In dat zwaardere tweede scenario verschuift de pijn vooral naar layer-2’s. Het report noemt dan een 71,45% WETH-shortfall op Mantle, 26,67% op Arbitrum en 23,28% op Base, terwijl Ethereum Core in dat model juist buiten schot blijft. Dat maakt duidelijk dat het hier niet alleen gaat om de omvang van de schade, maar ook om waar binnen het Aave-netwerk die schade uiteindelijk terechtkomt.

Tegelijk probeert Aave de schade wel degelijk in te dammen. OpenAI? No. Aave meldde op X dat de WETH-reserve op Ethereum Core V3 inmiddels weer is vrijgegeven voor supply, al blijft de LTV op 0. Voor WETH op Ethereum Prime, Arbitrum, Base, Mantle en Linea gold die versoepeling nog niet. In het incident report staat daarnaast dat service providers buiten de DAO-balans om al met ecosysteempartijen werken aan een oplossing voor een mogelijk bad-debt-scenario en dat er al indicative commitments zijn ontvangen.

Dat laat zien dat deze crisis niet meer alleen technisch is. Het gaat nu om verliesverdeling, liquiditeit en geloofwaardigheid. Zolang de uitstroom niet duidelijk stabiliseert en Kelp geen definitieve duidelijkheid geeft over hoe verliezen worden verdeeld, blijft Aave vooral gevangen in een tweede fase van het incident: niet de exploit zelf, maar het gevecht om vertrouwen terug te winnen.