A Llamarisk által az Aave fórumon közzétett incidensjelentésből kiderül, hogy szombaton egy, a KelpDAO Layerzero V2 rsETH útvonalát célzó híd-kizsákmányolás révén a támadó 116 500 rsETH-t tudott kinyerni az Ethereum OFT-adapteréből anélkül, hogy a forrásláncon bármilyen tokent is megsemmisített volna. A Llamarisk jelentése megjegyzi, hogy ez az incidens az Aave V3 piacokat 123,7 millió és 230,1 millió dollár közötti potenciális rossz adósságnak tette ki, attól függően, hogy a veszteségeket hogyan osztják el.
Eseményjelentés: A Llamarisk és az Aave szolgáltatói részletesen ismertetik a Kelp rsETH-t érintő támadást az Ethereum és az Arbitrum piacain
ÍRTA
MEGOSZTÁS
Főbb tanulságok:
- A Llamarisk szerint egy támadó 2026. április 18-án kihasználta a Kelp Layerzero V2 hídját, és 116 500 rsETH-t vert anélkül, hogy azt megfelelően elégetett volna.
- A Llamarisk becslése szerint a 7 érintett piacon a rossz adósság 123,7 millió és 230,1 millió dollár között mozog, attól függően, hogy a Kelp hogyan osztja el a veszteségeket.
- Az Aave DAO kincstára 2026. április 20-án 181 millió dollárral rendelkezik, és a szolgáltatók máris biztosítják az ökoszisztéma résztvevőitől a visszatérítésre vonatkozó indikatív kötelezettségvállalásokat.
A Llamarisk részletezi az rsETH kihasználási forgatókönyveket a Kelp OFT adapter kiürítése után
A kockázatkezelő cég, a Llamarisk és az Aave szolgáltató társszerzői által közzétett elemzés szerint a támadás UTC idő szerint 17:35-kor, az Ethereum 24 908 285. blokkjában történt. A jelentés szerint az Unichain-Ethereum útvonalat 1-of-1 DVN útvonalaként konfigurálták, ami azt jelenti, hogy egyetlen ellenőr is igazolhatott egy bejövő csomagot anélkül, hogy bármilyen kimenő művelet történt volna.
A Llamarisk szerzői szerint a támadó hamisított egy csomagot, amelyet az Ethereumon hitelesítettek, rögzítettek és kézbesítettek, így 116 500 rsETH-t szabadított fel az adapterből – jegyzi meg az Aave jelentése. Az adapter egyenlege egyetlen blokk alatt 116 723 rsETH-ről 223 rsETH-re esett vissza. A támadó a lopott rsETH-t egy befogadó pénztárcából hét elágazó címre osztotta szét. A kapott 116 500 rsETH-ből 89 567-et letétbe helyeztek az Ethereum és az Arbitrum Aave V3 piacain fedezetként.
Ezeket a pozíciókat használták fel körülbelül 82 650 WETH és 821 wstETH kölcsönzésére, az egészségügyi tényezők 1,01 és 1,03 között mozogtak. A publikálás időpontjában mind a hét támadó cím aktív maradt az Aave-n.
Az Aave szolgáltatói közösen írták a Llamarisk teljes incidensjelentését, és megerősítették, hogy az Aave saját intelligens szerződései nem kerültek veszélybe. Az esemény során az összes protokolllogika, beleértve a kínálati, visszafizetési és likvidációs mechanizmusokat, továbbra is a tervezett módon működött.
A Protocol Guardian április 18-án, körülbelül 19:00 UTC-kor megkezdte az összes rsETH és wrsETH tartalék befagyasztását az összes Aave V3 telepítésen. A lépés az LTV-t nullára állította, és letiltotta az új kínálatot és hitelfelvételt, miközben a meglévő pozíciók továbbra is visszafizetésre és likvidálásra jogosultak maradtak. Az Aave fórum elemzése szerint az Ethereum, Arbitrum, Avalanche, Base, Ink, Linea, Mantle, MegaETH, Plasma és Zksync platformokon összesen tizenegy piacot érintett az intézkedés.
A jelentés szerint a Risk Steward április 19-én, körülbelül 14:30 UTC-kor módosította a WETH kamatláb-modelleket az Arbitrum, a Base, a Mantle és a Linea platformokon, a Slope 2 értéket 1,50 százalékra csökkentve, és a 100 százalékos kihasználtság melletti hitelfelvételi kamatlábat 8,5–10,5 százalék közötti szintről 3,0 százalékos éves kamatra (APR) csökkentve. Hasonló kiigazítást hajtottak végre a Core-on is április 20-án, körülbelül 05:00 UTC-kor, ahol a Slope 1-et 2 százalékra, a Slope 2-t 3 százalékra, az optimális kihasználtságot pedig 94 százalékra állították be.
A Protocol Guardian április 20-án, körülbelül 02:00 UTC-kor befagyasztotta a WETH-t a Core, Prime, Arbitrum, Base, Mantle és Linea hálózatokon, hogy megakadályozza az új hitelfelvételt és megakadályozza a potenciális stressz terjedését a stablecoin-tartalékokra.
A 2 forgatókönyv
A Llamarisk elemzésében modellezett két forgatókönyv azt tükrözi, hogy a Kelp veszteségallokációs döntése hogyan fogja meghatározni a protokoll végső kitettségét. Az 1. forgatókönyv a 112 204 fedezetlen rsETH egyenletes szocializálását feltételezi az egész rsETH-kínálaton belül, ami 15,12 százalékos árfolyamcsökkenést és becslések szerint 123,7 millió dollárnyi behajthatatlan adósságot eredményez, az Ethereum Core abszolút értékben 91,8 millió dollárt visel el, míg a Mantle 9,54 százalékos WETH-tartalékhiánnyal szembesül.
A 2. forgatókönyv a veszteséget kizárólag az L2 rsETH-re korlátozza, 73,54 százalékos leírást alkalmazva a távoli láncok biztosítékaira, miközben az Ethereum főhálózat rsETH-jét teljesen érintetlenül hagyja, ami becslések szerint 230,1 millió dollárnyi rossz adósságot eredményez, amely a Mantle-re koncentrálódik 71,45 százalékos WETH-hiánnyal, az Arbitrumra pedig 26,67 százalékkal.
Az adapter jelenlegi egyenlege 40 373 rsETH, ami az egyetlen megerősített fedezet az összes távoli lánc rsETH-jéhez minden L2 útvonalon, szemben a távoli követelések összesen 152 577 rsETH-jével. A Kelp nem erősítette meg nyilvánosan, hogy a visszaszerzett pénzeszközöket hogyan fogják elosztani.
A jelentés szerint 2026. április 20-án az Aave DAO kincstára 181 millió dollárnyi eszközt tartott, beleértve 62 millió dollárnyi Ethereum-hoz kapcsolódó befektetést, 54 millió dollárnyi AAVE-t és 52 millió dollárnyi stabilcoin-t. A DAO 2025-ben 145 millió dollár bevételt generált, 2026-ban pedig eddig 38 millió dollárt. A Llamarisk megerősítette, hogy az ökoszisztéma résztvevőitől már több indikatív kötelezettségvállalás is érkezett a potenciális rossz adósságok kezelésére.
Az Ethereum, Arbitrum, Base, Linea és Mantle hálózatokon lévő WETH-tartalékok kihasználtsága 100 százalékos, az egyes láncokon a kihasználatlan egyenlegek 20 dollár alatt vannak. Teljes kihasználtság mellett a felszámolók az alapul szolgáló WETH helyett aWETH-t kapnak, ami lassítja a felszámolási folyamatot.
A Llamarisk jelentése a Base-t és az Arbitrumot jelölte meg a legkevésbé pufferelt piacokként, ahol az első likvidációk a WETH árfolyamának 0,77, illetve 1,77 százalékos esése esetén indultak be, mivel a pozíciók egészségi tényezője 1,03 körül volt.
A DeFi-hitelező Aave a KelpDAO rsETH-sebezhetőségét követően kivonási válsággal küzd
Az Aave WETH-pooljának kihasználtsága 100%-ra emelkedett az április 18-i rsETH-biztonsági rés kihasználását követően, ami 177–200 millió dollárnyi behajthatatlan követelést eredményezett, és az AAVE árfolyama 17,7%-kal esett. read more.
Olvass most
A DeFi-hitelező Aave a KelpDAO rsETH-sebezhetőségét követően kivonási válsággal küzd
Az Aave WETH-pooljának kihasználtsága 100%-ra emelkedett az április 18-i rsETH-biztonsági rés kihasználását követően, ami 177–200 millió dollárnyi behajthatatlan követelést eredményezett, és az AAVE árfolyama 17,7%-kal esett. read more.
Olvass mostA DeFi-hitelező Aave a KelpDAO rsETH-sebezhetőségét követően kivonási válsággal küzd
Olvass mostAz Aave WETH-pooljának kihasználtsága 100%-ra emelkedett az április 18-i rsETH-biztonsági rés kihasználását követően, ami 177–200 millió dollárnyi behajthatatlan követelést eredményezett, és az AAVE árfolyama 17,7%-kal esett. read more.
A Llamarisk az 1. forgatókönyv szerint a WETH Umbrella staking modul azonnali szüneteltetését javasolta. A jelentés közzétételének időpontjában a 23 507 staked aWETH-ből 18 922 lépett be a staking visszavonásának várakozási időszakába.
A szüneteltetés blokkolná a befizetéseket, kifizetéseket, átutalásokat és a slashinget, miközben a jutalomkifizetés aktív maradna. A fennmaradó négy rsETH-t jegyző piac, az Ethereum Lido, a MegaETH, a Plasma és a Zksync, elhanyagolható egyenlegekkel rendelkezik, és nincs rossz adóssága. További tizenkét Aave V3 piac nem jegyzi az rsETH-t, és nem érintett.
