Krypto kaufen
Bezahlen mit
USD
USD
Buy & Sell
Hot
Supports Visa, Mastercard, SEPA & more
P2P
0 Fees
Flexible trading, zero fees
Gate Card
Use your crypto for payments worldwide
Märkte
Handeln
Basic
Advanced
Futures
Futures
Access hundreds of perpetual contracts
CFD
Gold
One platform for global traditional assets
Options
Hot
Mit Vanilla-Optionen im europäischen Stil handeln
Einheitliches Konto
Maximieren Sie Ihre Kapitaleffizienz
Demo-Handel
Einführung in den Futures-Handel
Bereiten Sie sich auf Ihren Futures-Handel vor
Futures Events
Join events to earn rewards
Demo-Handel
Nutzen Sie virtuelle Gelder um risikofreien Handel zu erleben
Stocks
CFD
U.S. stock CFD derivatives
Futures
negociação 24/7
Tokenized Stocks
Backed by real stock assets
IPO Access
Unlock full access to global stock IPOs
GUSD
Mint GUSD for Treasury RWA yields
Verdienen
Launch
CandyDrop
Sammle Süßigkeiten, um Airdrops zu erhalten
Launchpool
Schnelles Staking, verdienen Sie potenziell neue Token
HODLer Airdrop
Halten Sie GT und erhalten Sie kostenlos massive Airdrops
IPO Access
Unlock full access to global stock IPOs
Alpha Points
Trade on-chain assets and earn airdrops
Punti Futures
Guadagna punti Futures e richiedi le ricompene dell'airdrop
Investition
Momente
Square
Post, share, and explore crypto trends
Live
moments live
Live-Krypto-Marktanalyse
Chat
Mit Krypto-Tradern chatten
Neues aus
Aktuelles aus dem Krypto-Bereich
flower_head
Mehr
Werbeaktionen
AI
Andere
TradFi
Belohnungs

Vorfallbericht: Llamarisk – Aave-Dienstanbieter geben Details zum Kelp rsETH-Hack über die Ethereum- und Arbitrum-Märkte hinweg bekannt

Coinpedia
Security IncidentsExchange Risk
AAVE5,89%
ETH3,79%
ARB8,66%
ZRO10,51%

Ein Vorfallbericht, der von Llamarisk im Aave-Forum veröffentlicht wurde, erklärt, dass ein Bridge-Exploit mit Ziel auf die KelpDAO-Route KelpDAO-Bridge (Layerzero V2) für rsETH am Samstag es einem Angreifer ermöglichte, 116.500 rsETH aus dem Ethereum-Adapter (OFT) zu extrahieren, ohne dass auf der Quellkette irgendein Token verbrannt werden musste. Llamarisk weist in seinem Bericht darauf hin, dass dieser Vorfall die Aave-V3-Märkte einem potenziellen Bad Debt von 123,7 Millionen bis 230,1 Millionen US-Dollar aussetzte, je nachdem, wie Verluste zugewiesen werden.

Kernaussagen:

  • Laut Llamarisk nutzte ein Angreifer am 18. April 2026 die Layerzero-V2-Bridge von Kelp, um 116.500 rsETH zu prägen, ohne dass es dazu irgendeinen entsprechenden Burn gab.
  • Llamarisk schätzt das Bad Debt auf 123,7 Millionen bis 230,1 Millionen US-Dollar über 7 betroffene Märkte hinweg, je nachdem, wie Kelp Verluste sozialisiert.
  • Die Aave-DAO-Treasury hält $181M per 20. April 2026, und Service Provider sichern bereits indikativen Wiederherstellungszusagen von Teilnehmern aus dem Ökosystem.

Llamarisk-Details: rsETH-Exploit-Szenarien nach Ablassen des Kelp-OFT-Adapters

Die Analyse, die von der Risikomanagementfirma Llamarisk und dem Aave-Service-Provider-Coautoren veröffentlicht wurde, erklärte, dass der Angriff um 17:35 UTC in Ethereum-Block 24.908.285 stattfand. Die Unichain-zu-Ethereum-Route war als ein 1-of-1-DVN-Pfad konfiguriert, was bedeutet, dass ein einzelner Verifier einen eingehenden-Packet ohne jegliche entsprechende ausgehende Aktion bestätigen konnte, so der Bericht.

Llamarisk-Autoren erklärten, der Angreifer habe ein Packet gefälscht, das auf Ethereum verifiziert, festgeschrieben und ausgeliefert wurde und 116.500 rsETH aus dem Adapter freisetzte, wie der Aave-Report festhält. Der Adapter-Saldo fiel in einem einzigen Block von 116.723 rsETH auf 223 rsETH. Der Angreifer verteilte das gestohlene rsETH aus einer Intake-Wallet über sieben Branch-Adresssen. Von den empfangenen 116.500 rsETH wurden 89.567 in Aave-V3-Märkte auf Ethereum und Arbitrum als Collateral eingezahlt.

Diese Positionen wurden genutzt, um ungefähr 82.650 WETH und 821 wstETH auszuleihen, wobei die Health Factors zwischen 1,01 und 1,03 einpendelten. Alle sieben Angreifer-Adressen sind zum Zeitpunkt der Veröffentlichung weiterhin bei Aave aktiv.

Aave-Service-Provider-Coautoren haben den vollständigen Incident-Report von Llamarisk mitveröffentlicht und bestätigt, dass Aaves eigene Smart Contracts nicht kompromittiert wurden. Die gesamte Protokoll-Logik, einschließlich Supply-, Repayment- und Liquidationsmechaniken, funktionierte während des gesamten Ereignisses wie vorgesehen weiter.

Der Protocol Guardian begann um etwa 19:00 UTC am 18. April alle rsETH- und wrsETH-Reserven über alle Aave-V3-Deployments einzufrieren. Die Maßnahme setzte LTV auf null und deaktivierte neues Supply und Borrow, wobei bestehende Positionen weiterhin für Repayment und Liquidation berechtigt blieben. Elf Märkte über Ethereum, Arbitrum, Avalanche, Base, Ink, Linea, Mantle, MegaETH, Plasma und Zksync waren betroffen, laut der Aave-Forum-Analyse.

Der Bericht sagt, der Risk Steward habe um etwa 14:30 UTC am 19. April die WETH-Zinsmodell(e) auf Arbitrum, Base, Mantle und Linea angepasst und Slope 2 auf 1,50 Prozent reduziert sowie die Borrow-Rate bei 100 Prozent Utilization von zwischen 8,5 und 10,5 Prozent auf 3,0 Prozent APR gesenkt. Eine entsprechende Anpassung wurde am 20. April um etwa 05:00 UTC auf Core angewendet, wobei Slope 1 auf 2 Prozent gesetzt wurde, Slope 2 auf 3 Prozent und die optimale Utilization auf 94 Prozent.

Der Protocol Guardian fror außerdem WETH auf Core, Prime, Arbitrum, Base, Mantle und Linea ein, um etwa 02:00 UTC am 20. April, um neues Borrow zu verhindern und möglichen Stress einzudämmen, der sich auf Stablecoin-Reserven ausbreiten könnte.

Die 2 Szenarien

Die beiden Szenarien, die durch die Analyse von Llamarisk modelliert wurden, spiegeln wider, wie die Verlustallokationsentscheidung von Kelp die finale Exponierung des Protokolls bestimmt. Szenario 1 geht von einer einheitlichen Sozialisierung der 112.204 nicht gedeckten rsETH über die gesamte rsETH-Versorgung aus, was zu einem 15,12-prozentigen Depeg und einem geschätzten Bad Debt von 123,7 Millionen US-Dollar führt, wobei Ethereum Core 91,8 Millionen US-Dollar im absoluten Sinne absorbiert und Mantle einen 9,54-prozentigen WETH-Reservenfehlbetrag erleidet.

Szenario 2 behandelt den Verlust als ausschließlich auf L2 rsETH beschränkt, wobei für Collateral auf entfernten Ketten ein 73,54-prozentiger Haircut angewendet wird, während Ethereum-Mainnet-rsETH vollständig intakt bleibt. Das ergibt ein geschätztes Bad Debt von 230,1 Millionen US-Dollar, das sich auf Mantle mit einem 71,45-prozentigen WETH-Shortfall und auf Arbitrum mit 26,67 Prozent konzentriert.

Der aktuelle Adapter-Saldo liegt bei 40.373 rsETH, das einzige bestätigte Backing für das gesamte Remote-Chain-rsETH über jeden L2-Pfad hinweg, gegenüber gesamten Remote-Ansprüchen von 152.577 rsETH. Kelp hat bislang nicht öffentlich bestätigt, wie die wiederhergestellten Mittel zugewiesen werden.

Am 20. April 2026 erklärte der Bericht, dass die Aave-DAO-Treasury 181 Millionen US-Dollar an Vermögenswerten hält, darunter 62 Millionen US-Dollar an im Ethereum korrelierten Beständen, 54 Millionen US-Dollar in AAVE und 52 Millionen US-Dollar in Stablecoins. Die DAO erwirtschaftete 145 Millionen US-Dollar an Einnahmen im Jahr 2025 und 38 Millionen US-Dollar seit Jahresbeginn 2026. Llamarisk bestätigte, dass mehrere indikativen Zusagen von Teilnehmern aus dem Ökosystem bereits vorhanden sind, um potenzielle Bad-Debt-Szenarien zu adressieren.

WETH-Reserven auf Ethereum, Arbitrum, Base, Linea und Mantle liegen bei 100 Prozent Utilization, wobei ungenutzte Salden auf jeder Kette unter 20 US-Dollar liegen. Bei voller Utilization erhalten Liquidatoren aWETH statt dem zugrunde liegenden WETH, was den Liquidations-Throughput verlangsamt.

Der Bericht von Llamarisk markierte Base und Arbitrum als die am wenigsten gepufferten Märkte: die ersten Liquidationen wurden durch WETH-Preisrückgänge von 0,77 Prozent bzw. 1,77 Prozent ausgelöst, jeweils aufgrund von Positionen, die bei Health Factors um 1,03 liefen.

Llamarisk empfahl eine sofortige Pause des WETH-Umbrella-Staking-Moduls unter Szenario 1. Zum Zeitpunkt der Veröffentlichung des Berichts waren 18.922 von 23.507 gestaked aWETH in den Unstaking-Cooldown eingetreten.

Eine Pause würde Deposits, Withdrawals, Transfers und Slashing blockieren, während die Ausschüttung von Rewards aktiv bleibt. Die verbleibenden vier im rsETH gelisteten Märkte, Ethereum Lido, MegaETH, Plasma und Zksync, tragen triviale Bilanzen und kein Bad Debt. Zwölf zusätzliche Aave-V3-Märkte, die rsETH nicht listen, sind nicht betroffen.

Disclaimer: The information on this page may come from third-party sources and is for reference only. It does not represent the views or opinions of Gate and does not constitute any financial, investment, or legal advice. Virtual asset trading involves high risk. Please do not rely solely on the information on this page when making decisions. For details, see the Disclaimer.

Related News

05-27 12:32
Oobit friert sechsstellige EURR-Mittel nach einem StablR-Smart-Contract-Angriff im Wert von 13,5 Millionen US-Dollar ein
05-27 10:22
5,4 Billionen vDCrv-Token auf Arbitrum geprägt; Angreifer tauschen 43,781 ETH
Verwandte Artikel

Stake DAO sieht sich einem anhaltenden Exploit gegenüber, nachdem 5,4 Billionen vsdCRV geprägt wurden

Ethan Brooks05-27 12:24

ZachXBT markiert einen KelpDAO-Exploit im Wert von 280 Millionen US-Dollar+, der Ethereum-DeFi-Kreditmärkte trifft

Coinpedia05-27 06:47

DeFi-TVL sinkt um 14 % nach dem KelpDAO-Bridge-Exploit

Ethan Brooks05-26 20:52

Squid weist eine Beteiligung am Gnosis-Safe-Modul-Exploit im Wert von 3,2 Mio. US-Dollar zurück

Ethan Brooks05-26 08:45

Kelp DAO bestätigt die vollständige Wiederherstellung von rsETH, Funktionsbetrieb nach dem Angriff der Lazarus Group vollständig neu gestartet

Market Whisper05-26 03:05
Kommentieren
0/400
Keine Kommentare