Отчёт о происшествии: Llamarisk, провайдеры сервисов Aave подробно описывают взлом Kelp с rsETH на рынках Ethereum и Arbitrum

Отчёт о инциденте, опубликованный Llamarisk на форуме Aave, объясняет, что в субботу эксплойт моста, нацеленный на маршрут KelpDAO Layerzero V2 rsETH, позволил злоумышленнику вывести 116 500 rsETH из OFT-адаптера Ethereum без сжигания каких-либо токенов в исходной сети. В отчёте Llamarisk отмечается, что этот инцидент подверг рынки Aave V3 потенциальному безнадёжному долгу в диапазоне от 123,7 миллиона до 230,1 миллиона долларов — в зависимости от того, как распределяются потери.

Основные выводы:

• По данным Llamarisk, злоумышленник использовал мост Kelp Layerzero V2 18 апреля 2026 года, отчеканив 116 500 rsETH без какого-либо соответствующего сжигания.
• Llamarisk оценивает безнадёжный долг в диапазоне от 123,7 миллиона до 230,1 миллиона долларов на 7 затронутых рынках — в зависимости от того, как Kelp социально распределяет потери.
• Казначейство Aave DAO держит $181M по состоянию на 20 апреля 2026 года, а поставщики сервисов уже обеспечивают предварительные обязательства по восстановлению средств от участников экосистемы.

Детали Llamarisk: сценарии эксплойта rsETH после осушения адаптера Kelp OFT

Анализ, опубликованный компанией по управлению рисками Llamarisk и соавторами-поставщиками сервиса Aave, пояснил, что атака произошла в 17:35 UTC в блоке Ethereum 24 908 285. Маршрут из Unichain в Ethereum был настроен как путь 1-of-1 DVN, то есть один верификатор мог подтвердить входящий пакет без какого-либо соответствующего исходящего действия — согласно отчёту.

Авторы Llamarisk заявили, что злоумышленник подделал пакет, который был подтверждён, закоммичен и доставлен в Ethereum, высвободив 116 500 rsETH из адаптера, как отмечается в отчёте Aave. Баланс адаптера упал с 116 723 rsETH до 223 rsETH в рамках одного блока. Злоумышленник распределил украденные rsETH из одного интак-кошелька по семи адресам ответвлений. Из полученных 116 500 rsETH 89 567 были внесены в рынки Aave V3 на Ethereum и Arbitrum в качестве залога.

Эти позиции использовались для заимствования примерно 82 650 WETH и 821 wstETH, при этом коэффициенты здоровья стабилизировались в диапазоне от 1,01 до 1,03. Все семь адресов злоумышленника остаются активными в Aave на момент публикации.

Поставщики сервисов Aave стали соавторами полного отчёта об инциденте Llamarisk и подтвердили, что собственные смарт-контракты Aave не были скомпрометированы. Вся логика протокола, включая механику поставки, погашения и ликвидаций, продолжала работать так, как было задумано, на протяжении всего события.

Протокольный Гуардиан начал замораживать все резервы rsETH и wrsETH во всех развёртываниях Aave V3 примерно в 19:00 UTC 18 апреля. Это действие установило LTV в ноль и отключило новый supply и borrowing, при этом оставив существующие позиции пригодными для погашения и ликвидации. Одиннадцать рынков в Ethereum, Arbitrum, Avalanche, Base, Ink, Linea, Mantle, MegaETH, Plasma и Zksync были затронуты — согласно анализу на форуме Aave.

В отчёте говорится, что Risk Steward скорректировал модели процентной ставки по WETH на Arbitrum, Base, Mantle и Linea примерно в 14:30 UTC 19 апреля, снизив Slope 2 до 1,50 процента и урезав ставку по заимствованиям при 100-процентном использовании с диапазона от 8,5 до 10,5 процента до 3,0 процента годовых. Соответствующая корректировка была применена к Core примерно в 05:00 UTC 20 апреля: Slope 1 установили на 2 процента, Slope 2 — на 3 процента, а оптимальное использование — на 94 процента.

Протокольный Гуардиан также заморозил WETH на Core, Prime, Arbitrum, Base, Mantle и Linea примерно в 02:00 UTC 20 апреля, чтобы предотвратить новые заимствования и сдержать потенциальный стресс, который мог бы распространиться на резервы стейблкоинов.

2 сценария

Два смоделированных Llamarisk сценария отражают то, как решение Kelp о распределении потерь определит конечную подверженность протокола. Сценарий 1 предполагает равномерную социальную утилизацию 112 204 обеспеченных не rsETH по всему объёму предложения rsETH, что даёт 15,12 процента depeg и оценочный безнадёжный долг в размере 123,7 миллиона долларов: при этом Ethereum Core поглощает 91,8 миллиона долларов в абсолютном выражении, а Mantle сталкивается с дефицитом резерва WETH в 9,54 процента.

Сценарий 2 рассматривает потери как изолированные только для L2 rsETH, применяя 73,54-процентный haircut к залогу на удалённых цепочках, при этом оставляя rsETH в основной сети Ethereum полностью нетронутым. В результате оценочный безнадёжный долг в 230,1 миллиона долларов концентрируется на Mantle с дефицитом WETH в 71,45 процента и на Arbitrum — в 26,67 процента.

Текущий баланс адаптера составляет 40 373 rsETH — это единственное подтверждённое обеспечение для всего rsETH с удалённых цепочек по каждому L2-пути — против совокупных удалённых требований на 152 577 rsETH. Kelp не подтверждал публично, как будут распределены восстановленные средства.

По состоянию на 20 апреля 2026 года в отчёте говорилось, что казначейство Aave DAO хранит 181 миллион долларов активов, включая 62 миллиона долларов в активах, коррелирующих с Ethereum, 54 миллиона долларов в AAVE и 52 миллиона долларов в стейблкоинах. DAO получило 145 миллионов долларов выручки в 2025 году и 38 миллионов долларов за период с начала 2026 года по текущую дату. Llamarisk подтвердил, что ряд предварительных обязательств от участников экосистемы уже находится в работе, чтобы закрывать потенциальные сценарии безнадёжного долга.

Резервы WETH на Ethereum, Arbitrum, Base, Linea и Mantle находятся на 100-процентном использовании, а неиспользованные балансы ниже 20 долларов на каждой цепочке. При полном использовании ликвидаторы получают aWETH вместо базового WETH, что замедляет пропускную способность ликвидаций.

Отчёт Llamarisk отметил Base и Arbitrum как наименее «буферизованные» рынки: первые ликвидации срабатывают при падении цены WETH на 0,77 процента и 1,77 процента соответственно — из‑за позиций, работающих с коэффициентами здоровья около 1,03.

Llamarisk рекомендовал немедленную паузу модуля стейкинга WETH Umbrella при Сценарии 1. На момент публикации отчёта 18 922 из 23 507 застейканных aWETH уже вошли в период анстейкинг-куулдауна.

Пауза заблокирует депозиты, выводы, переводы и slashing, сохранив при этом активным распределение вознаграждений. Оставшиеся четыре рынка, перечисленные для rsETH, Ethereum Lido, MegaETH, Plasma и Zksync, имеют несущественные балансы и не несут безнадёжного долга. Двенадцать дополнительных рынков Aave V3, не перечисляющих rsETH, не затронуты.