Hændelsesrapport: Llamarisk og Aave-tjenesteudbydere redegør for Kelp rsETH-hacket på Ethereum- og Arbitrum-markederne

Vigtige konklusioner:

• Ifølge Llamarisk udnyttede en hacker Kelps Layerzero V2-bro den 18. april 2026 og udstedte 116.500 rsETH uden nogen tilsvarende forbrænding.
• Llamarisk anslår tab på mellem 123,7 og 230,1 millioner dollar på tværs af de 7 berørte markeder, afhængigt af hvordan Kelp fordeler tabene.
• Aave DAO's kassebeholdning er på 181 mio. $ pr. 20. april 2026, og tjenesteudbydere er allerede i gang med at sikre indikative tilsagn om tilbagebetaling fra deltagere i økosystemet.

Llamarisk beskriver rsETH-udnyttelsesscenarier efter at Kelp OFT-adapteren blev tømt

Analysen, der blev offentliggjort af risikostyringsfirmaet Llamarisk og medforfattere fra Aave-tjenesteudbyderen, forklarede, at angrebet fandt sted kl. 17:35 UTC i Ethereum-blok 24.908.285. Unichain-til-Ethereum-ruten var konfigureret som en 1-af-1 DVN-sti, hvilket betyder, at en enkelt verifikator kunne attestere en indgående pakke uden nogen tilsvarende udgående handling, ifølge rapporten.

Forfatterne fra Llamarisk sagde, at angriberen forfalskede en pakke, der blev verificeret, bekræftet og leveret på Ethereum, hvilket frigav 116.500 rsETH fra adapteren, bemærker Aave-rapporten. Adapterens saldo faldt fra 116.723 rsETH til 223 rsETH i en enkelt blok. Angriberen spredte de stjålne rsETH fra en indgangspung over syv forgreningsadresser. Af de 116.500 rsETH, der blev modtaget, blev 89.567 deponeret på Aave V3-markederne på Ethereum og Arbitrum som sikkerhed.

Disse positioner blev brugt til at låne ca. 82.650 WETH og 821 wstETH, hvor sundhedsfaktorerne lå mellem 1,01 og 1,03. Alle syv angriberadresser er fortsat aktive på Aave på tidspunktet for offentliggørelsen.

Aave-tjenesteudbydere var medforfattere til Llamarisk's fulde hændelsesrapport og bekræftede, at Aaves egne smart contracts ikke blev kompromitteret. Al protokol-logik, herunder mekanismerne for udbud, tilbagebetaling og likvidation, fortsatte med at fungere som designet gennem hele hændelsen.

Protocol Guardian begyndte at fryse alle rsETH- og wrsETH-reserver på tværs af alle Aave V3-implementeringer omkring kl. 19:00 UTC den 18. april. Foranstaltningen satte LTV til nul og deaktiverede ny udbud og lån, mens eksisterende positioner forblev berettigede til tilbagebetaling og likvidation. Elleve markeder på tværs af Ethereum, Arbitrum, Avalanche, Base, Ink, Linea, Mantle, MegaETH, Plasma og Zksync blev berørt, ifølge analysen på Aave-forummet.

Rapporten angiver, at Risk Steward justerede WETH-rentemodellerne på Arbitrum, Base, Mantle og Linea omkring kl. 14:30 UTC den 19. april, hvilket reducerede Slope 2 til 1,50 procent og sænkede lånerenten ved 100 procent udnyttelse fra mellem 8,5 og 10,5 procent ned til 3,0 procent APR. En tilsvarende justering blev anvendt på Core omkring kl. 05:00 UTC den 20. april, hvor Slope 1 blev sat til 2 procent, Slope 2 til 3 procent og den optimale udnyttelse til 94 procent.

Protocol Guardian frøs også WETH på Core, Prime, Arbitrum, Base, Mantle og Linea omkring kl. 02:00 UTC den 20. april for at forhindre nye lån og begrænse spredningen af potentiel stress til stablecoin-reserverne.

De to scenarier

De to scenarier, der er modelleret i Llamarisk's analyse, afspejler, hvordan Kelps beslutning om tabstildeling vil bestemme protokollens endelige eksponering. Scenarie 1 antager en ensartet fordeling af de 112.204 ubeskyttede rsETH på hele rsETH-forsyningen, hvilket resulterer i en afkobling på 15,12 procent og et anslået tab på 123,7 millioner dollars, hvor Ethereum Core absorberer 91,8 millioner dollars i absolutte tal, og Mantle står over for et underskud på WETH-reserverne på 9,54 procent.

Scenarie 2 behandler tabet som isoleret til kun L2 rsETH, idet der anvendes en haircut på 73,54 procent på sikkerhedsstillelse på fjernkæder, mens Ethereum-mainnet rsETH forbliver fuldstændig intakt, hvilket resulterer i anslået 230,1 millioner dollars i tab, koncentreret på Mantle med et WETH-underskud på 71,45 procent og Arbitrum på 26,67 procent.

Den aktuelle adapterbalance ligger på 40.373 rsETH, den eneste bekræftede dækning for alle rsETH på fjernkæder på tværs af alle L2-stier, mod samlede fjernkrav på 152.577 rsETH. Kelp har ikke offentligt bekræftet, hvordan de inddrevne midler vil blive fordelt.

Pr. 20. april 2026 angiver rapporten, at Aave DAO's kassebeholdning rummer 181 millioner dollars i aktiver, herunder 62 millioner dollars i Ethereum-relaterede beholdninger, 54 millioner dollars i AAVE og 52 millioner dollars i stablecoins. DAO genererede 145 millioner dollars i indtægter i løbet af 2025 og 38 millioner dollars år til dato i 2026. Llamarisk bekræftede, at der allerede er indgået flere vejledende forpligtelser fra økosystemdeltagere for at imødegå potentielle scenarier med dårlige gældsposter.
WETH-reserverne på Ethereum, Arbitrum, Base, Linea og Mantle udnyttes 100 procent, med inaktive saldi på under 20 dollar på hver kæde. Ved fuld udnyttelse modtager likvidatorer aWETH i stedet for underliggende WETH, hvilket bremser likvidationsgennemstrømningen.

Llamarisk's rapport fremhævede Base og Arbitrum som de markeder med mindst buffer, hvor de første likvidationer udløses ved WETH-kursfald på henholdsvis 0,77 procent og 1,77 procent, da positionerne kører med sundhedsfaktorer omkring 1,03.

Llamarisk anbefalede en øjeblikkelig pause i WETH Umbrella-stakingmodulet under scenarie 1. På tidspunktet for rapportens offentliggørelse var 18.922 af 23.507 stakede aWETH gået ind i afstakings-cooldown.

En pause ville blokere indskud, udbetalinger, overførsler og slashing, mens udlodningen af belønninger fortsat ville være aktiv. De resterende fire rsETH-noterede markeder, Ethereum Lido, MegaETH, Plasma og Zksync, har ubetydelige saldi og ingen dårlige gældsposter. Tolv yderligere Aave V3-markeder noterer ikke rsETH og er ikke berørt.