Raport z incydentu: Llamarisk i dostawcy usług Aave przedstawiają szczegóły ataku hakerskiego na rsETH przeprowadzonego przez Kelp na rynkach Ethereum i Arbitrum

Kluczowe wnioski:

• Według Llamarisk, 18 kwietnia 2026 r. osoba atakująca wykorzystała most Layerzero V2 firmy Kelp, wybijając 116 500 rsETH bez żadnego odpowiadającego im spalania.
• Llamarisk szacuje, że wartość nieściągalnych długów na 7 dotkniętych rynkach wynosi od 123,7 mln do 230,1 mln dolarów, w zależności od tego, jak Kelp rozłoży straty.
• Na dzień 20 kwietnia 2026 r. skarb Aave DAO dysponuje kwotą 181 mln USD, a dostawcy usług już uzyskują od uczestników ekosystemu wstępne zobowiązania do zwrotu środków.

Llamarisk szczegółowo opisuje scenariusze wykorzystania rsETH po opróżnieniu adaptera OFT Kelp

Analiza opublikowana przez firmę zarządzającą ryzykiem Llamarisk oraz współautorów będących dostawcami usług Aave wyjaśnia, że atak miał miejsce o godz. 17:35 UTC w bloku Ethereum nr 24 908 285. Trasa z Unichain do Ethereum została skonfigurowana jako ścieżka DVN typu 1-of-1, co oznacza, że pojedynczy weryfikator mógł poświadczyć pakiet przychodzący bez żadnej odpowiadającej mu akcji wychodzącej, zgodnie z raportem.

Autorzy z Llamarisk stwierdzili, że atakujący sfałszował pakiet, który został zweryfikowany, zatwierdzony i dostarczony w sieci Ethereum, uwalniając 116 500 rsETH z adaptera, jak odnotowuje raport Aave. Saldo adaptera spadło z 116 723 rsETH do 223 rsETH w ciągu jednego bloku. Atakujący rozdzielił skradzione rsETH z jednego portfela wejściowego na siedem adresów gałęziowych. Z otrzymanych 116 500 rsETH, 89 567 zostało zdeponowanych na rynkach Aave V3 w sieciach Ethereum i Arbitrum jako zabezpieczenie.

Pozycje te zostały wykorzystane do pożyczenia około 82 650 WETH i 821 wstETH, przy współczynnikach kondycji wynoszących od 1,01 do 1,03. Wszystkie siedem adresów atakującego pozostaje aktywnych w sieci Aave w momencie publikacji.

Dostawcy usług Aave są współautorami pełnego raportu z incydentu sporządzonego przez Llamarisk i potwierdzili, że własne smart kontrakty Aave nie zostały naruszone. Cała logika protokołu, w tym mechanizmy podaży, spłaty i likwidacji, działała zgodnie z założeniami przez cały czas trwania zdarzenia.

Protocol Guardian rozpoczął zamrażanie wszystkich rezerw rsETH i wrsETH we wszystkich wdrożeniach Aave V3 około godziny 19:00 UTC 18 kwietnia. Działanie to ustawiło LTV na zero i wyłączyło nową podaż oraz zaciąganie pożyczek, pozostawiając jednocześnie istniejące pozycje kwalifikujące się do spłaty i likwidacji. Według analizy na forum Aave, incydent dotknął jedenaście rynków w sieciach Ethereum, Arbitrum, Avalanche, Base, Ink, Linea, Mantle, MegaETH, Plasma i Zksync.

Raport wskazuje, że Risk Steward skorygował modele stóp procentowych WETH na platformach Arbitrum, Base, Mantle i Linea około godziny 14:30 UTC 19 kwietnia, obniżając Slope 2 do 1,50% oraz zmniejszając stopę pożyczki przy 100-procentowym wykorzystaniu z przedziału 8,5–10,5% do 3,0% APR. Odpowiednia korekta została zastosowana w sieci Core około godziny 05:00 UTC 20 kwietnia, gdzie Slope 1 ustalono na 2%, Slope 2 na 3%, a optymalne wykorzystanie na 94%.

Protocol Guardian zamroził również WETH w sieciach Core, Prime, Arbitrum, Base, Mantle i Linea około godziny 02:00 UTC 20 kwietnia, aby zapobiec nowym pożyczkom i powstrzymać rozprzestrzenianie się potencjalnego stresu na rezerwy stablecoinów.

Dwa scenariusze

Dwa scenariusze modelowane w analizie Llamarisk odzwierciedlają, w jaki sposób decyzja Kelp dotycząca alokacji strat określi ostateczną ekspozycję protokołu. Scenariusz 1 zakłada równomierną socjalizację 112 204 rsETH bez pokrycia w całej podaży rsETH, co powoduje odłączenie się od parytetu o 15,12% i szacowaną kwotę złych długów w wysokości 123,7 mln USD, przy czym Ethereum Core absorbuje 91,8 mln USD w wartościach bezwzględnych, a Mantle stoi w obliczu 9,54-procentowego niedoboru rezerw WETH.

Scenariusz 2 traktuje stratę jako ograniczoną wyłącznie do rsETH w L2, stosując 73,54-procentową redukcję wartości zabezpieczenia w łańcuchach zdalnych, pozostawiając rsETH w sieci głównej Ethereum w pełni nienaruszone, co powoduje powstanie szacowanych 230,1 mln USD złych długów skoncentrowanych na Mantle przy 71,45-procentowym niedoborze WETH oraz na Arbitrum przy 26,67-procentowym niedoborze.

Obecne saldo adaptera wynosi 40 373 rsETH, co stanowi jedyne potwierdzone zabezpieczenie dla wszystkich rsETH w łańcuchach zdalnych na każdej ścieżce L2, przy całkowitej wartości roszczeń zdalnych wynoszącej 152 577 rsETH. Kelp nie potwierdził publicznie, w jaki sposób zostaną przydzielone odzyskane środki.

Według raportu z 20 kwietnia 2026 r. skarb Aave DAO posiada aktywa o wartości 181 mln USD, w tym 62 mln USD w aktywach powiązanych z Ethereum, 54 mln USD w AAVE oraz 52 mln USD w stablecoinach. DAO wygenerowało 145 mln USD przychodów w 2025 r. oraz 38 mln USD od początku 2026 r. Llamarisk potwierdziło, że uczestnicy ekosystemu podjęli już kilka orientacyjnych zobowiązań mających na celu przeciwdziałanie potencjalnym scenariuszom złych długów.
Rezerwy WETH w sieciach Ethereum, Arbitrum, Base, Linea i Mantle są wykorzystane w 100%, a salda nieaktywne w każdym łańcuchu wynoszą poniżej 20 USD. Przy pełnym wykorzystaniu likwidatorzy otrzymują aWETH zamiast bazowego WETH, co spowalnia przepustowość likwidacji.

Raport Llamarisk wskazał Base i Arbitrum jako rynki o najmniejszym buforze, gdzie pierwsze likwidacje uruchamiały się przy spadkach ceny WETH odpowiednio o 0,77% i 1,77%, ze względu na pozycje o współczynnikach kondycji wynoszących około 1,03.

Llamarisk zalecił natychmiastowe wstrzymanie modułu stakingowego WETH Umbrella w ramach scenariusza 1. W momencie publikacji raportu 18 922 z 23 507 stakowanych aWETH weszło w okres karencji unstakingu.

Wstrzymanie zablokowałoby wpłaty, wypłaty, transfery i slashing, jednocześnie utrzymując aktywną dystrybucję nagród. Pozostałe cztery rynki notujące rsETH, Ethereum Lido, MegaETH, Plasma i Zksync, mają znikome salda i nie mają złych długów. Dwanaście dodatkowych rynków Aave V3 nie notuje rsETH i nie ma na nie wpływu.