Aave's größter Slippage in der Geschichte! Wal erleidet massive Verluste von 50 Millionen Dollar – DeFi-Katastrophe, die drei Schutzbarrieren nicht abwehren konnten

Ein Wal tauschte über Aave 50,43 Millionen US-Dollar USDT einmalig in AAVE-Token um, erhielt jedoch aufgrund extremer Kurslücken nur 324 AAVE (etwa 36.000 USD), fast alles verloren, obwohl alle Sicherheitsmechanismen normal funktionierten.
(Vorheriger Kontext: Schockierend! Wal verliert 50 Millionen USD bei Tausch auf Aave wegen „extremen Kurslücken“)
(Hintergrund: Detaillierte Erklärung des DeFi-Kredit-„Liquidationsmechanismus“: Risikoübersicht zu Compound, Maker, AAVE)

Inhaltsverzeichnis

Toggle

• Analyse eines einzelnen Trades
• Die harte Mathematik der Liquidität
  • Wohin flossen die „überzahlten“ Differenzen?
• Drei Verteidigungslinien
• Entschuldigungsbetrag von 600.000 USD
• Das Erwachsenwerden von DeFi
  • DeFi steht auf derselben historischen Kurve

50.432.688 USD: Das ist der Betrag, den eine anonyme Wallet am 12. März in einer Transaktion investierte.

36.297 USD: Das ist der tatsächliche Rückfluss.

Verlustquote: 99,93 %. Innerhalb von weniger als einer Minute verwandelten sich 50 Millionen USD an Krypto-Assets in den Preis eines Gebrauchtwagens.

Dies ist kein Hackerangriff, keine Smart-Contract-Schwachstelle, kein Flashloan-Angriff, kein gestohlener Private Key.

Alle beteiligten Protokolle bei dieser Transaktion – Aave, CoW Protocol, Uniswap – erklärten später, dass das System „wie vorgesehen normal funktionierte“.

Eine Transaktion mit 99,93 % Verlust, bei der jeder Schritt ordnungsgemäß ablief. Das ist der spannendste Punkt dieser Geschichte.

Analyse eines einzelnen Trades

Um zu verstehen, warum dieser Trade passiert ist, zerlegen wir seine einzelnen Ebenen.

Dieses Wallet (Adresse 0x98B9D979…1FBF97Ac8) hält große Mengen an aEthUSDT: Das ist ein Ertrags-Token, das nach Einlage in das Aave-Kreditprotokoll automatisch generiert wird und den Zins auf die USDT-Sparposition bei Aave repräsentiert. Mit aEthUSDT besitzt man also eine USDT-Sparposition bei Aave. Besitz von aEthUSDT bedeutet, bei Aave zu verleihen und Zinsen zu verdienen.

Der Nutzer möchte Folgendes tun: Seine USDT-Sparposition in AAVE-Token (aEthAAVE) umwandeln. Einfach gesagt: eine Art Sicherheiten-Asset gegen ein anderes tauschen.

Aave bietet eine „Sicherheiten-Tausch“-Funktion (Collateral Swap), mit der Nutzer diese Operation per Klick erledigen können, ohne vorher abzuheben, auf eine Börse zu gehen, zu tauschen und wieder einzuzahlen. Klingt bequem.

Das Problem liegt hinter diesem „Klick“.

Nach Bestätigung wird die Transaktion an CoW Protocol weitergeleitet (das dezentrale Routing-System, das Aave Ende 2025 integriert hat). Der Solver von CoW übernimmt und führt folgende Schritte aus:

Erster Schritt: 50.432.688 aEthUSDT werden über den Aave V3-Vertrag eingelöst, um 50.432.688 USDT zu erhalten.

Zweiter Schritt: Diese 50,43 Mio. USDT werden in den Uniswap V3 USDT/WETH-Pool eingezahlt, um 17.958 WETH zu erhalten.

Dritter Schritt: WETH wird in AAVE-Token umgetauscht.

Vierter Schritt: Die erhaltenen AAVE werden in Aave V3 eingezahlt, um aEthAAVE zu prägen und an den Nutzer zu übergeben.

Der Ablauf klingt logisch. Doch am Ende erhält der Nutzer nur 327,24 aEthAAVE.

Bei einem AAVE-Preis von ca. 111 USD entspricht das etwa 36.297 USD.

50,43 Mio. USD rein, 36.000 USD raus.

Die harte Mathematik der Liquidität

Diese Summe ist so groß, dass viele beim Lesen dieser Nachricht zuerst denken: Das muss ein Bug oder ein Phishing sein. Oder eine Smart-Contract-Schwachstelle; aber diesmal ist es nicht so.

Die Gesamtzahl der AAVE-Token liegt bei etwa 15,3 Mio., die Marktkapitalisierung bei rund 1,6 Mrd. USD. Vor dem Vorfall lag das tägliche Handelsvolumen auf zentralisierten Börsen bei ca. 273 Mio. USD.

Nun will jemand 50 Mio. USD auf einmal in AAVE investieren.

Kurz gesagt: Er möchte in einer einzigen Transaktion ca. 3 % des zirkulierenden Angebots kaufen.

Das ist, als würde man in einem Aktienmarkt mit einem Tagesvolumen von 270 Mio. USD eine Market-Order über 50 Mio. USD platzieren. In traditionellen Märkten würde das vom Broker gestoppt, es gibt Circuit Breaker, Market Maker müssen die Spreads in Grenzen halten.

Doch im DeFi gibt es das nicht.

Die Liquidität auf dezentralen Börsen wird durch „Automated Market Maker“ (AMM) bereitgestellt. Die Preisformel ist meist die konstante Produktformel x × y = k. Das bedeutet: Je größer die Order, desto stärker der Kursrutsch. Es ist keine lineare, sondern eine exponentielle Preisbewegung.

Wenn diese 50,43 Mio. USD in den Uniswap-Liquiditätspool eingreifen, übersteigt der Impact die Kapazität des Pools erheblich. Die Marginalkosten für jede einzelne AAVE steigen rasant. Am Ende könnten die letzten AAVE-Token einen Preis haben, der hunderte Male höher ist als der Marktpreis.

Das Ergebnis: 50,43 Mio. USD wurden nur in 324 AAVE umgewandelt.

Wohin flossen die „überzahlten“ Differenzen?

In die Taschen der Arbitrage-Bots.

Im Ethereum-Ökosystem gibt es eine ganze Reihe von MEV (Maximal Extractable Value)-Bots, die diese Preisdisparitäten ausnutzen. Sie überwachen 24/7 alle großen Transaktionen auf der Chain. Sobald sie eine große Order in einem illiquiden Pool erkennen, greifen sie innerhalb von Millisekunden an: Sie kaufen vor der Order, treiben den Preis hoch, verkaufen nach der Ausführung und verdienen die Differenz.

Dieser Vorgang nennt sich „Sandwich-Attack“. Bei dieser Transaktion haben die MEV-Bots eine fast 50-Millionen-Dollar-Feast genossen.

Ironischerweise wurde CoW Protocol ursprünglich genau dafür entwickelt, Nutzer vor MEV-Angriffen zu schützen.

Drei Verteidigungslinien

Das Unheimliche an dieser Geschichte ist nicht der Verlustbetrag, sondern dass alle Sicherheitsmechanismen „wie vorgesehen“ funktionierten.

Erste Verteidigungslinie: CoW Protocols MEV-Schutz.

CoW Protocol ist eines der fortschrittlichsten Routing-Systeme im DeFi. Es bündelt mehrere Nutzerorders in Batches, bei denen professionelle Solver um die beste Ausführung konkurrieren.

Theoretisch kann dieses System drei Dinge:

1. Durch Batch-Auktionen die Absicht des Nutzers verschleiern, um MEV-Bots zu verhindern.

2. Durch einheitliche Preise innerhalb eines Batches Arbitrage-Möglichkeiten eliminieren.

3. Durch „Demand Matching“ direkt zwischen Nutzern handeln, ohne auf die Pool-Liquidität angewiesen zu sein.

Doch bei einer 50-Mio.-USD-Order scheitert alles. Es gibt keinen zweiten Nutzer, der gleichzeitig eine gleichgroße Menge AAVE gegen USDT tauschen möchte. Das Batch-Processing kann den Impact nicht verhindern: Der Pool hat schlichtweg nicht genug Liquidität.

CoW Swap erklärte später: „Die Transaktion wurde gemäß den signierten Parametern ausgeführt. Das System hat klare Preis-Impact-Warnungen gegeben.“

Statement von CoW Protocol:

Heute früh versuchte ein Trader, 50 Mio. aEthUSDT gegen aEthAAVE via Aave Swap zu tauschen, das von CoW Protocol betrieben wird. Trotz deutlicher Warnungen vor extremen Slippage und der Notwendigkeit einer Bestätigung per Checkbox… https://t.co/Pav4udXUkX

— CoW DAO (@CoWSwap) 13. März 2026

Zweite Verteidigungslinie: Slippage-Warnung bei Aave.

Stani Kulechov, Gründer von Aave, erklärte nachträglich ein entscheidendes Detail: Als der Nutzer die Transaktion auf der Aave-Oberfläche startete, erschien eine Warnung vor „ungewöhnlichem Slippage“. Der Nutzer musste eine Checkbox manuell anklicken, um die Risiken zu bestätigen, damit die Transaktion fortgesetzt werden konnte.

Laut Kulechov wurde diese Bestätigung auf einem Mobilgerät vorgenommen.

Eine Checkbox, 50 Mio. USD, auf einem Smartphone.

Ein Aave-Engineer verriet später mehr: Vor der Bestätigung zeigte das System, dass 50,43 Mio. USD USDT nur etwa 140 AAVE (vor Gebühren) ergeben würden. Das System sagte also nicht nur „hoher Slippage“, sondern zeigte explizit: „Sie verlieren über 99 %“.

Dennoch klickte der Wal auf „Bestätigen“.

Dritte Verteidigungslinie: Das eigene Urteilsvermögen des Nutzers.

In der traditionellen Finanzwelt würde ein Kunde, der auf seinem Smartphone eine 50-Millionen-USD-Transaktion mit 99 % Verlust bestätigt, vom Broker angerufen. Das Risk-Management würde eingreifen. Es bräuchte eine schriftliche Genehmigung. Der Prozess würde Tage dauern.

Im DeFi ist alles auf einen Klick und eine Bestätigung reduziert.

Niemand kennt den Nutzer. Niemand weiß, warum er trotz der 99 %-Warnung auf „Bestätigen“ klickt. War es ein Irrtum? Ein Fingerfehler? Ein versehentlicher Klick auf dem kleinen Smartphone-Bildschirm? Oder steckt noch etwas anderes dahinter? Vielleicht war er betrunken oder unter Drogeneinfluss?

Eines ist sicher: Im dezentralen Raum ist „Bestätigen“ unwiderruflich. Kein T+1, kein Rückruf, keine Hotline.

Mit einem Klick auf „Bestätigen“ ist die Transaktion auf der Blockchain dauerhaft dokumentiert.

Sechzigtausend USD Entschuldigung

Innerhalb von 24 Stunden nach dem Vorfall kündigte Kulechov an, dass Aave die etwa 600.000 USD an Gebühren, die bei dieser Transaktion anfallen, zurückzahlen werde.

Heute früh versuchte ein Nutzer, 50 Mio. USD USDT über die Aave-Oberfläche in AAVE zu tauschen.
Aufgrund der außergewöhnlich großen Order warnte die Aave-Oberfläche, wie die meisten Trading-Interfaces, vor extremer Slippage und erforderte eine Bestätigung per Checkbox…

— Stani.eth (@StaniKulechov) 12. März 2026

Sechzigtausend USD. Für einen, der 50 Mio. USD verloren hat. Das ist, als würde man in einem Restaurant ein Million-Dollar-Abendessen essen und nur eine Flasche Wasser zurückbekommen.

Doch das ist das Maximum, was Aave unter den aktuellen Mechanismen tun kann.

Denn Aave ist ein dezentrales Protokoll, dessen Gelder von der DAO verwaltet werden. Kulechov und Aave Labs sind das Entwicklungsteam, aber rechtlich und governance-seitig besitzen sie die Gelder nicht. Um Nutzer zu entschädigen, braucht es einen Community-Vorschlag, eine Abstimmung und eine Zustimmung.

Damit stellt sich eine tiefere Frage: Wer trägt die Verantwortung im dezentralen Raum?

Bei einer zentralisierten Börse ist die Antwort klar: Die Börse muss die Nutzer schützen. Wenn das System fehlerhaft ist und Nutzer dadurch Schaden nehmen, haftet die Börse. Regulierungsbehörden greifen ein. Anwälte schicken Schreiben.

Im Fall von Aave ist die Verantwortung auf mindestens vier Ebenen verteilt:

• Aave Labs hat die Oberfläche gestaltet, CoW Swap integriert und die Collateral-Swap-Funktion bereitgestellt. Sie sagen, es gab ausreichende Warnungen.

• CoW Protocol hat das Routing ausgeführt. Sie sagen, die Transaktion wurde gemäß den signierten Parametern ausgeführt.

• Die Uniswap-Liquiditätspools haben die Preise gestellt. Das AMM ist transparent.

• Der Nutzer hat selbst bestätigt. Und zwar bei klarer Warnung vor 99 % Verlust.

Jede Partei hat ihre Argumente, keine hat „falsch“ gehandelt, doch 50 Mio. USD sind weg.

Das Erwachsenwerden von DeFi

Dieses Ereignis lässt uns erneut über den Zustand der DeFi-Welt nachdenken: Was kostet „Unpermissioned“?

DeFi verspricht, Mittelsmänner, Banken, Broker und Regulierer zu eliminieren. Du und dein Vermögen, nur noch Code.

Dieses Prinzip hat in den letzten zehn Jahren Millionen Nutzer angezogen. Bis März 2026 sind fast 976 Mrd. USD in DeFi gebunden. Allein Aave verwaltet über 25,7 Mrd. USD an Vermögen, mit über 1 Billion USD an Krediten.

Doch „ohne Mittelsmänner“ bedeutet auch: Ohne Schutzmechanismen.

In der traditionellen Finanzwelt gibt es:

• Circuit Breaker und Limit-Downs bei der NYSE: Bei großen Kursschwankungen wird der Handel pausiert.
• Broker haben „Suitability“-Pflichten: Sie müssen sicherstellen, dass die Trades zum Risikoprofil passen.
• Banken haben KYC-Prozesse: Sie wissen, wer du bist, um im Fall der Fälle dich zu finden.

Diese Systeme wirken bürokratisch, nicht Web3-konform. Aber sie existieren, weil die Finanzgeschichte der letzten 200 Jahre zeigt: Menschen machen Fehler, rutschen ab, sehen falsche Preise, werden emotional.

DeFi wählt einen anderen Weg. Es gibt die Entscheidung komplett an den Nutzer ab: Was, wie viel, wie groß der Slippage sein darf. Das System gibt nur eine Warnung – ein Häkchen – und führt dann aus.

In den meisten Fällen ist das effizient. Doch in Extremsituationen entsteht ein Paradoxon: Je mehr das System „wie vorgesehen“ funktioniert, desto schwerer sind Verluste wieder gutzumachen.

Denn niemand hat „falsch“ gehandelt. Alle Verluste sind freiwillig.

Das erinnert an das alte Prinzip im traditionellen Finanzwesen: „Käufer trägt das Risiko.“ Vor der Regulierung war das die Grundregel: Der Käufer trägt alle Risiken. Es gab keine Aufsicht, keine Anlegerschutzgesetze, keine Sammelklagen.

Nach dem Börsencrash 1929 und der Finanzkrise 2008 wurden die Regeln strenger. Es gibt mehr Schutzmechanismen.

DeFi steht auf derselben Kurve

Aave verwaltet 25,7 Mrd. USD, generiert jährlich über 600 Mio. USD Gebühren. CoW Protocol verarbeitet Milliarden an Transaktionen. Das sind keine Spielereien mehr, sondern echte Finanzinfrastruktur, die echtes Vermögen trägt.

Doch die Schutzmechanismen sind noch immer auf „Warnhinweis“ beschränkt.

50 Mio. USD in 36.000 USD umgewandelt, alles regelkonform, transparent, „normal“.

In der traditionellen Finanzwelt gilt eine ungeschriebene Regel: Es ist die Pflicht der Finanzinstitute, Kunden vor eigenen Dummheiten zu schützen. Im DeFi gilt das Gegenteil: Keine Entscheidungen für den Nutzer, nur Code.

Diese beiden Weltbilder werden früher oder später aufeinanderprallen.

Und diesmal kostet es 50 Mio. USD. Aber es ist eine Lektion, die uns zum Nachdenken über menschliche Schwächen und Kontrollmechanismen anregen sollte.