Un rapporto sull'incidente pubblicato da Llamarisk sul forum di Aave spiega che sabato un attacco di tipo "bridge exploit" diretto contro il percorso rsETH di Layerzero V2 di KelpDAO ha permesso a un hacker di sottrarre 116.500 rsETH dall'adattatore OFT di Ethereum senza bruciare alcun token sulla catena di origine. Il rapporto di Llamarisk sottolinea che questo incidente ha esposto i mercati di Aave V3 a potenziali crediti inesigibili compresi tra 123,7 milioni e 230,1 milioni di dollari, a seconda di come vengono ripartite le perdite. Punti chiave:
Rapporto sull'incidente: Llamarisk e i fornitori di servizi Aave descrivono in dettaglio l'attacco hacker a Kelp rsETH sui mercati di Ethereum e Arbitrum
SCRITTO DA
CONDIVIDI
- Secondo Llamarisk, il 18 aprile 2026 un hacker ha sfruttato il bridge Layerzero V2 di Kelp, coniando 116.500 rsETH senza alcun corrispondente burn.
- Llamarisk stima che i crediti inesigibili ammontino a una cifra compresa tra 123,7 e 230,1 milioni di dollari nei 7 mercati interessati, a seconda di come Kelp ripartirà le perdite.
- Il tesoro di Aave DAO detiene 181 milioni di dollari al 20 aprile 2026 e i fornitori di servizi stanno già ottenendo impegni indicativi di recupero dai partecipanti all'ecosistema.
Llamarisk descrive in dettaglio gli scenari di exploit di rsETH dopo lo svuotamento dell'adattatore OFT di Kelp
L'analisi pubblicata dalla società di gestione del rischio Llamarisk e dai coautori fornitori di servizi di Aave ha spiegato che l'attacco è avvenuto alle 17:35 UTC nel blocco 24.908.285 di Ethereum. Il percorso da Unichain a Ethereum era configurato come un percorso DVN 1-of-1, il che significa che un singolo verificatore poteva attestare un pacchetto in entrata senza alcuna azione in uscita corrispondente, secondo il rapporto.
Gli autori di Llamarisk hanno affermato che l'autore dell'attacco ha falsificato un pacchetto che è stato verificato, confermato e consegnato su Ethereum, liberando 116.500 rsETH dall'adattatore, come nota il rapporto di Aave. Il saldo dell'adattatore è sceso da 116.723 rsETH a 223 rsETH in un singolo blocco. L'autore dell'attacco ha distribuito gli rsETH rubati da un unico wallet di raccolta su sette indirizzi secondari. Dei 116.500 rsETH ricevuti, 89.567 sono stati depositati nei mercati Aave V3 su Ethereum e Arbitrum come garanzia. Queste posizioni sono state utilizzate per prendere in prestito circa 82.650 WETH e 821 wstETH, con fattori di salute compresi tra 1,01 e 1,03. Tutti e sette gli indirizzi dell'autore dell'attacco rimangono attivi su Aave al momento della pubblicazione.
I fornitori di servizi di Aave hanno collaborato alla stesura del rapporto completo sull'incidente di Llamarisk e hanno confermato che gli smart contract di Aave non sono stati compromessi. Tutta la logica del protocollo, comprese le meccaniche di fornitura, rimborso e liquidazione, ha continuato a funzionare come previsto durante l'intero evento. Il Protocol Guardian ha iniziato a congelare tutte le riserve di rsETH e wrsETH su tutte le implementazioni di Aave V3 alle 19:00 UTC circa del 18 aprile. L'azione ha azzerato l'LTV e disabilitato la nuova offerta e i prestiti, lasciando le posizioni esistenti idonee al rimborso e alla liquidazione. Secondo l'analisi del forum di Aave, sono stati interessati undici mercati su Ethereum, Arbitrum, Avalanche, Base, Ink, Linea, Mantle, MegaETH, Plasma e Zksync.
Il rapporto afferma che il Risk Steward ha adeguato i modelli di tasso di interesse WETH su Arbitrum, Base, Mantle e Linea alle 14:30 UTC circa del 19 aprile, riducendo lo Slope 2 all'1,50% e abbassando il tasso di prestito con un utilizzo del 100% da un intervallo compreso tra l'8,5% e il 10,5% al 3,0% APR. Un adeguamento corrispondente è stato applicato a Core alle 05:00 UTC circa del 20 aprile, con Slope 1 fissato al 2%, Slope 2 al 3% e l'utilizzo ottimale fissato al 94%.
Il Protocol Guardian ha inoltre congelato il WETH su Core, Prime, Arbitrum, Base, Mantle e Linea alle 02:00 UTC circa del 20 aprile per impedire nuovi prestiti e contenere il potenziale stress che potrebbe diffondersi alle riserve di stablecoin.
I due scenari
I due scenari modellati dall'analisi di Llamarisk riflettono come la decisione di Kelp sull'allocazione delle perdite determinerà l'esposizione finale del protocollo. Lo scenario 1 ipotizza una socializzazione uniforme dei 112.204 rsETH non garantiti sull'intera fornitura di rsETH, producendo un depeg del 15,12% e circa 123,7 milioni di dollari di crediti inesigibili, con Ethereum Core che assorbe 91,8 milioni di dollari in termini assoluti e Mantle che deve affrontare un deficit di riserva WETH del 9,54%.
Lo scenario 2 considera la perdita isolata esclusivamente all'rsETH L2, applicando un haircut del 73,54% alle garanzie sulle catene remote, lasciando invece intatto l'rsETH della mainnet di Ethereum, generando un debito inesigibile stimato di 230,1 milioni di dollari concentrato su Mantle con un deficit di WETH del 71,45% e su Arbitrum del 26,67%.
Il saldo attuale dell'adattatore è pari a 40.373 rsETH, l'unica garanzia confermata per tutti gli rsETH delle catene remote su ogni percorso L2, a fronte di crediti remoti totali pari a 152.577 rsETH. Kelp non ha confermato pubblicamente come verranno allocati i fondi recuperati.
Al 20 aprile 2026, il rapporto indicava che la tesoreria di Aave DAO deteneva 181 milioni di dollari in attività, inclusi 62 milioni di dollari in partecipazioni correlate a Ethereum, 54 milioni di dollari in AAVE e 52 milioni di dollari in stablecoin. La DAO ha generato 145 milioni di dollari di ricavi nel corso del 2025 e 38 milioni di dollari dall'inizio del 2026. Llamarisk ha confermato che sono già in atto diversi impegni indicativi da parte dei partecipanti all'ecosistema per affrontare potenziali scenari di crediti inesigibili. Le riserve di WETH su Ethereum, Arbitrum, Base, Linea e Mantle sono al 100% di utilizzo, con saldi inattivi inferiori a 20 dollari su ogni catena. A pieno utilizzo, i liquidatori ricevono aWETH anziché WETH sottostante, il che rallenta la velocità di liquidazione.
Il rapporto di Llamarisk ha segnalato Base e Arbitrum come i mercati con il minor buffer, con le prime liquidazioni innescate a cali di prezzo del WETH rispettivamente dello 0,77% e dell'1,77%, a causa di posizioni con fattori di salute intorno a 1,03.
Il prestatore DeFi Aave affronta una crisi dei prelievi a seguito della vulnerabilità di rsETH sfruttata da KelpDAO
Il pool WETH di Aave ha raggiunto il 100% di utilizzo in seguito a un exploit su rsETH avvenuto il 18 aprile 2026, causando crediti inesigibili per un valore compreso tra 177 e 200 milioni di dollari e un calo… read more.
Leggi ora
Il prestatore DeFi Aave affronta una crisi dei prelievi a seguito della vulnerabilità di rsETH sfruttata da KelpDAO
Il pool WETH di Aave ha raggiunto il 100% di utilizzo in seguito a un exploit su rsETH avvenuto il 18 aprile 2026, causando crediti inesigibili per un valore compreso tra 177 e 200 milioni di dollari e un calo… read more.
Leggi oraIl prestatore DeFi Aave affronta una crisi dei prelievi a seguito della vulnerabilità di rsETH sfruttata da KelpDAO
Leggi oraIl pool WETH di Aave ha raggiunto il 100% di utilizzo in seguito a un exploit su rsETH avvenuto il 18 aprile 2026, causando crediti inesigibili per un valore compreso tra 177 e 200 milioni di dollari e un calo… read more.
Llamarisk ha raccomandato una pausa immediata del modulo di staking WETH Umbrella nell'ambito dello Scenario 1. Al momento della pubblicazione del rapporto, 18.922 dei 23.507 aWETH in staking erano entrati nel periodo di attesa per l'unstaking.
Una pausa bloccherebbe depositi, prelievi, trasferimenti e slashing, mantenendo attiva la distribuzione dei premi. I restanti quattro mercati quotati su rsETH, Ethereum Lido, MegaETH, Plasma e Zksync, presentano saldi irrisori e nessun credito inesigibile. Altri dodici mercati Aave V3 non quotano rsETH e non sono interessati.
