घटना रिपोर्ट: लमारिस्क, आवे सर्विस प्रोवाइडर्स ने एथेरियम और आर्बिट्रम मार्केट्स में केल्प rsETH हैक का विवरण दिया।

मुख्य निष्कर्ष:

• लैमारिस्क के अनुसार, एक हमलावर ने 18 अप्रैल, 2026 को केल्प के लेयरज़ीरो V2 ब्रिज का फायदा उठाया, और बिना किसी संबंधित बर्न के 116,500 rsETH मिंट किए।
• लैमारिस्क का अनुमान है कि केल्प द्वारा नुकसान को कैसे साझा किया जाता है, इस पर निर्भर करते हुए, 7 प्रभावित बाजारों में खराब ऋण $123.7M और $230.1M के बीच है।
• Aave DAO खज़ाने में 20 अप्रैल, 2026 तक $181M है, और सेवा प्रदाता पहले से ही इकोसिस्टम प्रतिभागियों से अनुमानित वसूली प्रतिबद्धताएं सुनिश्चित कर रहे हैं।

केल्प OFT एडाप्टर के ड्रेन होने के बाद Llamarisk ने rsETH एक्सप्लॉइट परिदृश्यों का विवरण दिया

जोखिम प्रबंधन कंपनी लमारिस्क और Aave सेवा प्रदाता सह-लेखकों द्वारा प्रकाशित विश्लेषण में बताया गया है कि यह हमला 17:35 UTC पर एथेरियम ब्लॉक 24,908,285 में हुआ। रिपोर्ट के अनुसार, यूनिचेन-टू-इथेरियम मार्ग को 1-ऑफ-1 डीवीएन पथ के रूप में कॉन्फ़िगर किया गया था, जिसका अर्थ है कि एक एकल सत्यापनकर्ता बिना किसी संबंधित आउटबाउंड कार्रवाई के एक इनबाउंड पैकेट का प्रमाण दे सकता था।

लामारिस्क के लेखकों ने कहा कि हमलावर ने एक ऐसा पैकेट बनाया जिसे सत्यापित, प्रतिबद्ध और एथेरियम पर वितरित किया गया, जिससे एडॉप्टर से 116,500 rsETH रिलीज़ हो गए, जैसा कि आवे रिपोर्ट में उल्लेख है। एडॉप्टर का बैलेंस एक ही ब्लॉक में 116,723 rsETH से घटकर 223 rsETH हो गया। हमलावर ने चोरी किए गए rsETH को एक इनटेक वॉलेट से सात शाखा पतों पर फैला दिया। प्राप्त 116,500 rsETH में से, 89,567 को Ethereum और Arbitrum पर Aave V3 मार्केट्स में कोलेटरल के रूप में जमा किया गया था।

उन पोजीशंस का उपयोग लगभग 82,650 WETH और 821 wstETH उधार लेने के लिए किया गया था, जिसमें हेल्थ फैक्टर 1.01 और 1.03 के बीच तय हुए। प्रकाशन के समय तक सभी सात हमलावर पते Aave पर सक्रिय बने हुए हैं।

Aave सेवा प्रदाताओं ने लमारिस्क की पूरी घटना रिपोर्ट का सह-लेखन किया और पुष्टि की कि Aave के अपने स्मार्ट अनुबंध समझौता नहीं हुए थे। आपूर्ति, पुनर्भुगतान और लिक्विडेशन मैकेनिक्स सहित सभी प्रोटोकॉल लॉजिक, पूरे घटनाक्रम के दौरान डिज़ाइन के अनुसार काम करते रहे।

प्रोटोकॉल गार्डियन ने 18 अप्रैल को लगभग 19:00 UTC पर सभी Aave V3 डिप्लॉयमेंट्स में सभी rsETH और wrsETH भंडार को फ्रीज करना शुरू कर दिया। इस कार्रवाई ने LTV को शून्य पर सेट कर दिया और नई आपूर्ति और उधार को अक्षम कर दिया, जबकि मौजूदा पोजीशन को पुनर्भुगतान और लिक्विडेशन के लिए पात्र छोड़ दिया। Aave फोरम विश्लेषण के अनुसार, Ethereum, Arbitrum, Avalanche, Base, Ink, Linea, Mantle, MegaETH, Plasma, और Zksync में ग्यारह मार्केट प्रभावित हुए।

रिपोर्ट में कहा गया है कि रिस्क स्टीवर्ड ने 19 अप्रैल को लगभग 14:30 UTC पर आर्बिट्रम, बेस, मेंटल और लिनेआ पर WETH ब्याज दर मॉडल को समायोजित किया, जिसमें स्लोप 2 को 1.50 प्रतिशत तक कम किया गया और 100 प्रतिशत उपयोग पर उधार दर को 8.5 से 10.5 प्रतिशत से घटाकर 3.0 प्रतिशत APR कर दिया गया। 20 अप्रैल को लगभग 05:00 UTC पर कोर पर भी एक समान समायोजन लागू किया गया, जिसमें स्लोप 1 को 2 प्रतिशत, स्लोप 2 को 3 प्रतिशत, और इष्टतम उपयोग को 94 प्रतिशत पर सेट किया गया।

प्रोटोकॉल गार्डियन ने 20 अप्रैल को लगभग 02:00 UTC पर कोर, प्राइम, आर्बिट्रम, बेस, मेंटल और लिनेआ पर WETH को भी फ्रीज कर दिया, ताकि नई उधारी को रोका जा सके और स्टेबलकॉइन भंडार में संभावित तनाव के फैलाव को रोका जा सके।

2 परिदृश्य

लामारिस्क के विश्लेषण द्वारा मॉडल किए गए दो परिदृश्य दर्शाते हैं कि केल्प का हानि आवंटन निर्णय प्रोटोकॉल के अंतिम एक्सपोजर को कैसे निर्धारित करेगा। परिदृश्य 1 यह मानता है कि 112,204 बिना-समर्थित rsETH पूरे rsETH आपूर्ति में समान रूप से फैल जाएगा, जिससे 15.12 प्रतिशत का डेपैग और अनुमानित $123.7 मिलियन का खराब ऋण उत्पन्न होगा, जिसमें Ethereum Core पूर्ण रूप से $91.8 मिलियन अवशोषित करेगा और Mantle को 9.54 प्रतिशत WETH रिज़र्व की कमी का सामना करना पड़ेगा।

परिदृश्य 2 हानि को केवल L2 rsETH तक सीमित मानता है, दूरस्थ चेनों पर संपार्श्विक पर 73.54 प्रतिशत की कटौती लागू करता है जबकि Ethereum मेननेट rsETH को पूरी तरह से बरकरार रखता है, जिससे Mantle पर 71.45 प्रतिशत WETH की कमी और Arbitrum पर 26.67 प्रतिशत की कमी के साथ अनुमानित $230.1 मिलियन का खराब ऋण उत्पन्न होता है।

वर्तमान एडाप्टर बैलेंस 40,373 rsETH है, जो प्रत्येक L2 पथ पर सभी रिमोट-चेन rsETH के लिए एकमात्र पुष्टि की गई बैकिंग है, जबकि कुल रिमोट दावों की संख्या 152,577 rsETH है। केल्प ने सार्वजनिक रूप से यह पुष्टि नहीं की है कि बरामद किए गए धन का आवंटन कैसे किया जाएगा।

20 अप्रैल, 2026 तक, रिपोर्ट में कहा गया है कि Aave DAO खजाने में $181 मिलियन की संपत्ति है, जिसमें Ethereum-संबंधित होल्डिंग्स में $62 मिलियन, AAVE में $54 मिलियन, और स्टेबलकॉइन में $52 मिलियन शामिल हैं। DAO ने 2025 के दौरान $145 मिलियन का राजस्व उत्पन्न किया और 2026 में अब तक $38 मिलियन का राजस्व उत्पन्न किया है। लैमारिस्क ने पुष्टि की कि संभावित बुरे-कर्ज परिदृश्यों को संबोधित करने के लिए इकोसिस्टम प्रतिभागियों से कई संकेतात्मक प्रतिबद्धताएं पहले से ही मौजूद हैं।

लैमारिस्क की रिपोर्ट ने बेस और आर्बिट्रम को सबसे कम बफर वाले बाजारों के रूप में चिह्नित किया, जहां क्रमशः 0.77 प्रतिशत और 1.77 प्रतिशत की WETH मूल्य गिरावट पर पहली लिक्विडेशन शुरू हुई, क्योंकि पोजीशन का हेल्थ फैक्टर लगभग 1.03 था।

लामारिस्क ने परिदृश्य 1 के तहत WETH अम्ब्रेला स्टेकिंग मॉड्यूल को तुरंत रोकने की सिफारिश की। रिपोर्ट के प्रकाशन तक, 23,507 में से 18,922 स्टेक किए गए aWETH अनस्टेकिंग कूलडाउन में प्रवेश कर चुके थे।

एक विराम जमा, निकासी, हस्तांतरण, और स्लैशिंग को रोक देगा, जबकि पुरस्कार वितरण सक्रिय रहेगा। शेष चार rsETH-सूचीबद्ध बाज़ार, Ethereum Lido, MegaETH, Plasma, और Zksync, में नगण्य शेष राशि है और कोई खराब ऋण नहीं है। बारह अतिरिक्त Aave V3 बाज़ार rsETH को सूचीबद्ध नहीं करते हैं और अप्रभावित हैं।