Vorfallbericht: Llamarisk und Aave-Dienstleister schildern den Kelp-rsETH-Hack auf den Ethereum- und Arbitrum-Märkten

• Laut Llamarisk nutzte ein Angreifer am 18. April 2026 die Layerzero V2-Brücke von Kelp aus und prägte 116.500 rsETH, ohne dass ein entsprechender Burn erfolgte.
• Llamarisk schätzt die Forderungsausfälle auf 123,7 bis 230,1 Millionen US-Dollar über sieben betroffene Märkte hinweg, je nachdem, wie Kelp die Verluste verteilt.
• Die Aave-DAO-Kasse verfügt zum 20. April 2026 über 181 Mio. $, und Dienstleister sichern sich bereits indikative Rückzahlungszusagen von Teilnehmern des Ökosystems.

Llamarisk beschreibt rsETH-Exploit-Szenarien nach der Entleerung des Kelp-OFT-Adapters

Die von dem Risikomanagementunternehmen Llamarisk und den Aave-Dienstleistern als Co-Autoren veröffentlichte Analyse erklärte, dass der Angriff um 17:35 UTC im Ethereum-Block 24.908.285 stattfand. Die Unichain-zu-Ethereum-Route war als 1-of-1-DVN-Pfad konfiguriert, was bedeutet, dass ein einzelner Verifizierer ein eingehendes Paket ohne entsprechende ausgehende Aktion bestätigen konnte, so der Bericht.

Die Autoren von Llamarisk gaben an, dass der Angreifer ein Paket gefälscht habe, das auf Ethereum verifiziert, bestätigt und zugestellt wurde, wodurch 116.500 rsETH aus dem Adapter freigegeben wurden, wie der Aave-Bericht feststellt. Der Adapter-Saldo sank in einem einzigen Block von 116.723 rsETH auf 223 rsETH. Der Angreifer verteilte die gestohlenen rsETH von einer Eingangs-Wallet auf sieben Zweigadressen. Von den 116.500 erhaltenen rsETH wurden 89.567 als Sicherheit in Aave-V3-Märkte auf Ethereum und Arbitrum eingezahlt. Diese Positionen wurden genutzt, um etwa 82.650 WETH und 821 wstETH aufzunehmen, wobei die Health-Faktoren zwischen 1,01 und 1,03 lagen. Alle sieben Angreiferadressen sind zum Zeitpunkt der Veröffentlichung weiterhin auf Aave aktiv.

Aave-Dienstleister haben den vollständigen Vorfallsbericht von Llamarisk mitverfasst und bestätigt, dass die eigenen Smart Contracts von Aave nicht kompromittiert wurden. Die gesamte Protokoll-Logik, einschließlich der Mechanismen für Bereitstellung, Rückzahlung und Liquidation, funktionierte während des gesamten Vorfalls wie vorgesehen. Der Protocol Guardian begann am 18. April um ca. 19:00 Uhr UTC damit, alle rsETH- und wrsETH-Reserven über alle Aave-V3-Bereitstellungen hinweg einzufrieren. Durch diese Maßnahme wurde der LTV auf null gesetzt und die Vergabe neuer Kredite sowie die Aufnahme neuer Kredite deaktiviert, während bestehende Positionen weiterhin für Rückzahlung und Liquidation in Frage kamen. Laut der Analyse im Aave-Forum waren elf Märkte auf Ethereum, Arbitrum, Avalanche, Base, Ink, Linea, Mantle, MegaETH, Plasma und Zksync betroffen.

Dem Bericht zufolge passte der Risk Steward am 19. April um ca. 14:30 Uhr UTC die WETH-Zinsmodelle auf Arbitrum, Base, Mantle und Linea an, wobei Slope 2 auf 1,50 Prozent gesenkt und der Kreditzins bei 100-prozentiger Auslastung von 8,5 bis 10,5 Prozent auf 3,0 Prozent APR reduziert wurde. Eine entsprechende Anpassung wurde am 20. April um ca. 05:00 Uhr UTC auf Core angewendet, wobei Slope 1 auf 2 Prozent, Slope 2 auf 3 Prozent und die optimale Auslastung auf 94 Prozent festgelegt wurden.

Der Protocol Guardian hat außerdem am 20. April um ca. 02:00 Uhr UTC WETH auf Core, Prime, Arbitrum, Base, Mantle und Linea eingefroren, um neue Kreditaufnahmen zu verhindern und zu verhindern, dass sich potenzieller Stress auf die Stablecoin-Reserven ausbreitet.

Die 2 Szenarien

Die beiden von Llamarisk in seiner Analyse modellierten Szenarien spiegeln wider, wie Kelps Entscheidung zur Verlustverteilung das endgültige Risiko des Protokolls bestimmen wird. Szenario 1 geht von einer gleichmäßigen Verteilung der 112.204 ungedeckten rsETH über den gesamten rsETH-Bestand aus, was zu einer Abkopplung von 15,12 Prozent und geschätzten Forderungsausfällen in Höhe von 123,7 Millionen US-Dollar führt, wobei Ethereum Core 91,8 Millionen US-Dollar in absoluten Zahlen absorbiert und Mantle mit einem WETH-Reservendefizit von 9,54 Prozent konfrontiert ist.

Szenario 2 behandelt den Verlust als isoliert auf L2-rsETH beschränkt, wendet einen Haircut von 73,54 Prozent auf Sicherheiten auf Remote-Chains an, während das Ethereum-Mainnet-rsETH vollständig intakt bleibt, was zu geschätzten Forderungsausfällen in Höhe von 230,1 Millionen US-Dollar führt, die sich auf Mantle mit einem WETH-Defizit von 71,45 Prozent und Arbitrum mit 26,67 Prozent konzentrieren.

Der aktuelle Adapter-Saldo beläuft sich auf 40.373 rsETH, die einzige bestätigte Deckung für alle rsETH auf Remote-Chains über alle L2-Pfade hinweg, gegenüber Remote-Forderungen in Höhe von insgesamt 152.577 rsETH. Kelp hat noch nicht öffentlich bestätigt, wie die wiedererlangten Mittel verteilt werden.

Dem Bericht zufolge verfügt die Aave-DAO-Kasse zum 20. April 2026 über Vermögenswerte in Höhe von 181 Millionen US-Dollar, darunter 62 Millionen US-Dollar an Ethereum-korrelierten Beständen, 54 Millionen US-Dollar an AAVE und 52 Millionen US-Dollar an Stablecoins. Die DAO erzielte im Jahr 2025 Einnahmen in Höhe von 145 Millionen US-Dollar und seit Jahresbeginn 2026 in Höhe von 38 Millionen US-Dollar. Llamarisk bestätigte, dass bereits mehrere indikative Zusagen von Ökosystem-Teilnehmern vorliegen, um potenzielle Szenarien mit uneinbringlichen Forderungen abzufedern. Die WETH-Reserven auf Ethereum, Arbitrum, Base, Linea und Mantle sind zu 100 Prozent ausgelastet, wobei die ungenutzten Guthaben auf jeder Chain unter 20 US-Dollar liegen. Bei voller Auslastung erhalten Liquidatoren aWETH anstelle des zugrunde liegenden WETH, was den Liquidationsdurchsatz verlangsamt.

Der Bericht von Llamarisk stufte Base und Arbitrum als die Märkte mit der geringsten Pufferkapazität ein, wobei die ersten Liquidationen bei WETH-Kursrückgängen von 0,77 Prozent bzw. 1,77 Prozent ausgelöst wurden, da die Positionen mit Gesundheitsfaktoren um 1,03 liefen.

Llamarisk empfahl eine sofortige Pause des WETH-Umbrella-Staking-Moduls gemäß Szenario 1. Zum Zeitpunkt der Veröffentlichung des Berichts waren 18.922 von 23.507 gestakten aWETH in die Unstaking-Wartezeit eingetreten.

Eine Pause würde Einzahlungen, Auszahlungen, Übertragungen und Slashing blockieren, während die Ausschüttung von Belohnungen weiterhin aktiv bleibt. Die verbleibenden vier rsETH-gelisteten Märkte – Ethereum Lido, MegaETH, Plasma und Zksync – weisen nur geringfügige Guthaben und keine Forderungsausfälle auf. Zwölf weitere Aave-V3-Märkte listen rsETH nicht und sind davon nicht betroffen.