Izvješće o incidentu: Llamarisk, pružatelji usluga Aavea detaljno opisuju hakiranje Kelp rsETH-a na tržištima Ethereuma i Arbitruma

Ključne poruke:

• Prema Llamarisku, napadač je 18. travnja 2026. iskoristio Kelpov Layerzero V2 most, iskovavši 116.500 rsETH bez ikakvog odgovarajućeg spaljivanja.
• Llamarisk procjenjuje loš dug između 123,7 mil. USD i 230,1 mil. USD u 7 pogođenih tržišta, ovisno o tome kako Kelp socijalizira gubitke.
• Riznica Aave DAO-a drži 181 mil. USD na dan 20. travnja 2026., a pružatelji usluga već osiguravaju indikativne obveze oporavka od sudionika ekosustava.

Llamarisk detaljno opisuje scenarije rsETH eksploita nakon pražnjenja Kelp OFT adaptera

Analiza koju su objavili tvrtka za upravljanje rizikom Llamarisk i suautori, pružatelji usluga za Aave, objasnila je da se napad dogodio u 17:35 UTC u Ethereum bloku 24.908.285. Ruta Unichain-to-Ethereum bila je konfigurirana kao 1-od-1 DVN put, što znači da je jedan verifikator mogao potvrditi dolazni paket bez ikakve odgovarajuće odlazne radnje, navodi se u izvješću.

Autori Llamariska rekli su da je napadač krivotvorio paket koji je verificiran, potvrđen i isporučen na Ethereum, čime je iz adaptera oslobođeno 116.500 rsETH, navodi Aave izvješće. Stanje adaptera palo je sa 116.723 rsETH na 223 rsETH u jednom bloku. Napadač je raspodijelio ukradeni rsETH iz jednog ulaznog novčanika na sedam pod-adresa. Od primljenih 116.500 rsETH, 89.567 je položeno kao kolateral u Aave V3 tržišta na Ethereumu i Arbitrumu.

Te su pozicije korištene za posudbu približno 82.650 WETH i 821 wstETH, pri čemu su se faktori zdravlja stabilizirali između 1,01 i 1,03. Svih sedam napadačevih adresa ostaje aktivno na Aaveu u trenutku objave.

Pružatelji usluga za Aave suautorirali su Llamariskovo cjelovito izvješće o incidentu i potvrdili da Aaveovi vlastiti pametni ugovori nisu kompromitirani. Sva logika protokola, uključujući mehanizme opskrbe, otplate i likvidacije, nastavila je funkcionirati kako je predviđeno tijekom cijelog događaja.

Protocol Guardian započeo je zamrzavanje svih rsETH i wrsETH rezervi kroz sve Aave V3 implementacije oko 19:00 UTC 18. travnja. Ova je radnja postavila LTV na nulu i onemogućila novu opskrbu i posuđivanje, dok je postojeće pozicije ostavila podobnima za otplatu i likvidaciju. Prema analizi na Aave forumu, pogođeno je jedanaest tržišta diljem Ethereuma, Arbitruma, Avalancha, Basea, Inka, Linee, Mantlea, MegaETH-a, Plasme i Zksynca.

Izvješće navodi da je Risk Steward oko 14:30 UTC 19. travnja prilagodio modele kamatnih stopa za WETH na Arbitrumu, Baseu, Mantleu i Linei, smanjivši Slope 2 na 1,50 posto i snizivši stopu posudbe pri 100-postotnoj iskorištenosti s između 8,5 i 10,5 posto na 3,0 posto APR. Odgovarajuća prilagodba primijenjena je na Core oko 05:00 UTC 20. travnja, pri čemu je Slope 1 postavljen na 2 posto, Slope 2 na 3 posto, a optimalna iskorištenost na 94 posto.

Protocol Guardian je također zamrznuo WETH na Core, Prime, Arbitrumu, Baseu, Mantleu i Linei oko 02:00 UTC 20. travnja kako bi spriječio novo posuđivanje i obuzdao potencijalni stres da se ne proširi na rezerve stablecoina.

2 scenarija

Dva scenarija modelirana u Llamariskovoj analizi odražavaju kako će Kelpova odluka o raspodjeli gubitaka odrediti konačnu izloženost protokola. Scenarij 1 pretpostavlja ravnomjernu socijalizaciju 112.204 nepokrivena rsETH kroz cjelokupnu rsETH ponudu, što proizvodi depeg od 15,12 posto i procijenjenih 123,7 milijuna dolara lošeg duga, pri čemu Ethereum Core apsorbira 91,8 milijuna dolara u apsolutnom iznosu, a Mantle se suočava s manjkom WETH rezerve od 9,54 posto.

Scenarij 2 tretira gubitak kao izoliran samo na L2 rsETH, primjenjujući haircut od 73,54 posto na kolateral na udaljenim lancima, dok rsETH na Ethereum mainnetu ostavlja potpuno netaknutim, što rezultira procijenjenih 230,1 milijun dolara lošeg duga koncentriranog na Mantle s manjkom WETH-a od 71,45 posto i na Arbitrumu od 26,67 posto.

Trenutačno stanje adaptera iznosi 40.373 rsETH, jedina potvrđena pokrivenost za sav rsETH na udaljenim lancima kroz svaku L2 rutu, naspram ukupnih udaljenih potraživanja od 152.577 rsETH. Kelp nije javno potvrdio kako će se oporavljena sredstva raspodijeliti.

Na dan 20. travnja 2026., navodi se u izvješću, riznica Aave DAO-a drži 181 milijun dolara imovine, uključujući 62 milijuna dolara u posjedima koreliranim s Ethereumom, 54 milijuna dolara u AAVE-u i 52 milijuna dolara u stablecoinima. DAO je tijekom 2025. ostvario 145 milijuna dolara prihoda te 38 milijuna dolara od početka godine u 2026. Llamarisk je potvrdio da je već osigurano nekoliko indikativnih obveza od sudionika ekosustava kako bi se adresirali potencijalni scenariji lošeg duga.

WETH rezerve na Ethereumu, Arbitrumu, Baseu, Linei i Mantleu su na 100 posto iskorištenosti, s neaktivnim saldima ispod 20 dolara na svakom lancu. Pri punoj iskorištenosti, likvidatori dobivaju aWETH umjesto osnovnog WETH-a, što usporava propusnost likvidacija.

Llamariskovo izvješće označilo je Base i Arbitrum kao tržišta s najmanjim amortizerom, pri čemu se prve likvidacije aktiviraju pri padovima cijene WETH-a od 0,77 posto odnosno 1,77 posto, zbog pozicija koje rade s faktorima zdravlja oko 1,03.

Llamarisk je preporučio trenutačnu pauzu WETH Umbrella staking modula u okviru Scenarija 1. U trenutku objave izvješća, 18.922 od 23.507 uložena aWETH-a ušla su u razdoblje hlađenja za povlačenje uloga.

Pauza bi blokirala uplate, isplate, transfere i slashing, dok bi distribucija nagrada ostala aktivna. Preostala četiri rsETH-izlistana tržišta, Ethereum Lido, MegaETH, Plasma i Zksync, imaju zanemarive iznose i nemaju loš dug. Dvanaest dodatnih Aave V3 tržišta ne izlistava rsETH i nisu pogođena.