Опис інциденту, опублікований Llamarisk на форумі Aave, пояснює, що зловживання через міст, яке націлювалося на маршрут KelpDAO Layerzero V2 для rsETH у суботу, дозволило атакувальнику витягнути 116 500 rsETH із OFT-адаптера Ethereum без спалення будь-яких токенів у вихідному ланцюзі. У звіті Llamarisk зазначено, що цей інцидент наражає ринки Aave V3 на потенційні збитки за безнадійними боргами в діапазоні від $123,7 млн до $230,1 млн — залежно від того, як розподіляються втрати.
Ключові висновки:
- За даними Llamarisk, атакувальник використав Layerzero V2-мост Kelp 18 квітня 2026 року, карбуючи 116 500 rsETH без будь-якого відповідного спалення.
- Llamarisk оцінює безнадійні борги між $123,7 млн і $230,1 млн для 7 уражених ринків — залежно від того, як Kelp соціалізує втрати.
- Скринька Aave DAO станом на 20 квітня 2026 року тримає $181M , а постачальники сервісів уже забезпечують орієнтовні зобов’язання щодо відновлення коштів від учасників екосистеми.
Деталі Llamarisk: сценарії експлуатації rsETH після осушення адаптера Kelp OFT
Аналіз, опублікований компанією з управління ризиками Llamarisk та співавторами з сервісного провайдера Aave, пояснював, що атака сталася о 17:35 UTC у блоці Ethereum 24 908 285. Маршрут Unichain-to-Ethereum був налаштований як шлях 1-of-1 DVN, тобто один верифікатор міг засвідчити вхідний пакет без будь-якої відповідної дії на виході — згідно зі звітом.
Автори Llamarisk заявили, що атакувальник підробив пакет, який був верифікований, зафіксований і доставлений у Ethereum, вивільнивши 116 500 rsETH з адаптера, зазначає звіт Aave. Баланс адаптера впав з 116 723 rsETH до 223 rsETH в межах одного блока. Атакувальник розпорошив викрадені rsETH з одного вхідного гаманця на сім адрес-«гілок». Із 116 500 rsETH, отриманих атакувальником, 89 567 були внесені в ринки Aave V3 на Ethereum і Arbitrum як заставу.
Ці позиції використали, щоб позичити приблизно 82 650 WETH і 821 wstETH, причому health factors стабілізувалися між 1,01 і 1,03. Усі сім адрес атакувальника залишаються активними в Aave на момент публікації.
Співавтори — постачальники сервісів Aave — спільно підписали повний звіт Llamarisk про інцидент і підтвердили, що власні смартконтракти Aave не були скомпрометовані. Усе логічне наповнення протоколу, включно з механіками постачання, погашення та ліквідації, продовжувало працювати так, як було закладено, протягом усієї події.
Protocol Guardian розпочав заморожування всіх резервів rsETH і wrsETH у всіх розгортаннях Aave V3 приблизно о 19:00 UTC 18 квітня. Ця дія встановила LTV на нуль і вимкнула нове постачання та запозичення, залишивши чинні позиції придатними для погашення та ліквідації. Згідно з аналізом на форумі Aave, було уражено одинадцять ринків на Ethereum, Arbitrum, Avalanche, Base, Ink, Linea, Mantle, MegaETH, Plasma і Zksync.
У звіті сказано, що Risk Steward скоригував моделі процентної ставки за WETH на Arbitrum, Base, Mantle та Linea приблизно о 14:30 UTC 19 квітня, знизивши Slope 2 до 1,50% і скоротивши ставку запозичення при 100% використання з діапазону між 8,5% і 10,5% до 3,0% річних (APR). Відповідне коригування було застосовано до Core приблизно о 05:00 UTC 20 квітня: Slope 1 встановили на 2%, Slope 2 — на 3%, а оптимальне використання — на 94%.
Protocol Guardian також заморозив WETH на Core, Prime, Arbitrum, Base, Mantle та Linea приблизно о 02:00 UTC 20 квітня, щоб запобігти новим запозиченням і стримати потенційний стрес, який може поширитися на резерви стейблкоїнів.
Два сценарії
Два сценарії, змодельовані в аналізі Llamarisk, відображають те, як рішення Kelp щодо розподілу втрат визначить кінцеву експозицію протоколу. Сценарій 1 припускає рівномірну соціалізацію 112 204 незабезпечених rsETH по всьому обсягу пропозиції rsETH, що дає 15,12% depeg і оцінену суму $123,7 млн безнадійних боргів: Ethereum Core поглинає $91,8 млн у абсолютному вираженні, а Mantle стикається з дефіцитом резерву WETH 9,54%.
Сценарій 2 розглядає втрату як ізольовану лише для L2 rsETH: застосовується haircut 73,54% до застави на віддалених ланцюгах, тоді як rsETH на Ethereum mainnet залишається повністю неушкодженим. Це формує оцінені $230,1 млн безнадійних боргів, сконцентрованих у Mantle при дефіциті WETH 71,45%, і в Arbitrum — при 26,67%.
Поточний баланс адаптера становить 40 373 rsETH — єдине підтверджене забезпечення для всіх rsETH від віддалених ланцюгів на кожному шляху L2 — проти загальних віддалених вимог 152 577 rsETH. Kelp публічно не підтвердив, як розподілятимуться відновлені кошти.
Станом на 20 квітня 2026 року звіт повідомляв, що скарбниця Aave DAO тримає $181 млн активів, включно з $62 млн у активах, корельованих з Ethereum, $54 млн в AAVE і $52 млн у стейблкоїнах. DAO отримала $145 млн доходу у 2025 році та $38 млн з початку 2026 року до поточної дати. Llamarisk підтвердив, що вже існує низка орієнтовних зобов’язань від учасників екосистеми для опрацювання потенційних сценаріїв безнадійних боргів.
Резерви WETH на Ethereum, Arbitrum, Base, Linea та Mantle перебувають на рівні 100% використання, а залишки вільної ліквідності нижчі за $20 на кожному ланцюзі. За повного використання ліквідатори отримують aWETH замість базового WETH, що уповільнює пропускну здатність ліквідацій.
Звіт Llamarisk відзначив Base та Arbitrum як найменш «забуферені» ринки: перші ліквідації запускаються при падінні ціни WETH на 0,77% і 1,77% відповідно — через позиції, що працюють із health factors близько 1,03.
Llamarisk рекомендував негайно призупинити модуль стейкінгу WETH Umbrella за Сценарієм 1. На момент публікації звіту 18 922 із 23 507 aWETH, що були в стейкінгу, увійшли в період охолодження перед анстейкінгом.
Призупинення заблокує депозити, виведення, перекази та слешинг, зберігаючи активним розподіл винагород. Решта чотири ринки, де вказаний rsETH — Ethereum Lido, MegaETH, Plasma та Zksync — мають тривіальні залишки та не мають безнадійних боргів. Ще дванадцять додаткових ринків Aave V3 не розміщують rsETH і не зазнали впливу.
