Relatório de incidente: Llamarisk e os provedores de serviços da Aave detalham o ataque ao rsETH da Kelp nos mercados Ethereum e Arbitrum

Principais conclusões:

• De acordo com a Llamarisk, um invasor explorou a ponte Layerzero V2 da Kelp em 18 de abril de 2026, cunhando 116.500 rsETH sem qualquer queima correspondente.
• A Llamarisk estima perdas entre US$ 123,7 milhões e US$ 230,1 milhões em 7 mercados afetados, dependendo de como a Kelp distribuirá as perdas.
• O tesouro da Aave DAO detém US$ 181 milhões em 20 de abril de 2026, e os prestadores de serviços já estão garantindo compromissos indicativos de recuperação dos participantes do ecossistema.

Llamarisk detalha cenários de exploração do rsETH após o adaptador OFT da Kelp ter sido esvaziado

A análise publicada pela empresa de gestão de riscos Llamarisk e pelos coautores prestadores de serviços da Aave explicou que o ataque ocorreu às 17h35 UTC no bloco 24.908.285 da Ethereum. A rota Unichain-para-Ethereum foi configurada como um caminho DVN 1-de-1, o que significa que um único verificador poderia atestar um pacote de entrada sem qualquer ação de saída correspondente, de acordo com o relatório.

Os autores da Llamarisk afirmaram que o invasor falsificou um pacote que foi verificado, confirmado e entregue na Ethereum, liberando 116.500 rsETH do adaptador, observa o relatório da Aave. O saldo do adaptador caiu de 116.723 rsETH para 223 rsETH em um único bloco. O invasor distribuiu os rsETH roubados de uma carteira de entrada por sete endereços de ramificação. Dos 116.500 rsETH recebidos, 89.567 foram depositados nos mercados da Aave V3 na Ethereum e na Arbitrum como garantia.

Essas posições foram usadas para tomar emprestado aproximadamente 82.650 WETH e 821 wstETH, com fatores de saúde oscilando entre 1,01 e 1,03. Todos os sete endereços do invasor permanecem ativos na Aave até o momento da publicação.

Os provedores de serviços da Aave co-autores do relatório completo do incidente da Llamarisk confirmaram que os próprios contratos inteligentes da Aave não foram comprometidos. Toda a lógica do protocolo, incluindo os mecanismos de oferta, reembolso e liquidação, continuou a funcionar conforme projetado durante todo o evento.

O Protocol Guardian começou a congelar todas as reservas de rsETH e wrsETH em todas as implantações da Aave V3 por volta das 19h UTC do dia 18 de abril. A ação definiu o LTV como zero e desativou novos fornecimentos e empréstimos, mantendo as posições existentes elegíveis para reembolso e liquidação. Onze mercados nas plataformas Ethereum, Arbitrum, Avalanche, Base, Ink, Linea, Mantle, MegaETH, Plasma e Zksync foram afetados, de acordo com a análise do fórum da Aave.

O relatório indica que o Risk Steward ajustou os modelos de taxa de juros do WETH no Arbitrum, Base, Mantle e Linea por volta das 14h30 UTC do dia 19 de abril, reduzindo o Slope 2 para 1,50% e diminuindo a taxa de empréstimo com 100% de utilização de 8,5% a 10,5% para 3,0% APR. Um ajuste correspondente foi aplicado ao Core por volta das 05h00 UTC do dia 20 de abril, com o Slope 1 definido em 2%, o Slope 2 em 3% e a utilização ideal em 94%.

O Protocol Guardian também congelou o WETH no Core, Prime, Arbitrum, Base, Mantle e Linea por volta das 02h00 UTC do dia 20 de abril para impedir novos empréstimos e conter a propagação de possíveis tensões para as reservas de stablecoins.

Os 2 cenários

Os dois cenários modelados pela análise da Llamarisk refletem como a decisão de alocação de perdas da Kelp determinará a exposição final do protocolo. O Cenário 1 pressupõe a socialização uniforme dos 112.204 rsETH sem lastro em todo o fornecimento de rsETH, produzindo um desancoramento de 15,12% e uma estimativa de US$ 123,7 milhões em dívidas incobráveis, com o Ethereum Core absorvendo US$ 91,8 milhões em termos absolutos e o Mantle enfrentando um déficit de 9,54% na reserva de WETH.

O Cenário 2 trata a perda como isolada apenas ao rsETH da L2, aplicando um haircut de 73,54% às garantias em cadeias remotas, enquanto mantém o rsETH da mainnet do Ethereum totalmente intacto, produzindo uma estimativa de US$ 230,1 milhões em dívidas incobráveis concentradas no Mantle, com um déficit de WETH de 71,45%, e no Arbitrum, com 26,67%.

O saldo atual do adaptador é de 40.373 rsETH, o único lastro confirmado para todo o rsETH de cadeias remotas em todos os caminhos L2, contra um total de reivindicações remotas de 152.577 rsETH. A Kelp não confirmou publicamente como os fundos recuperados serão alocados.

Em 20 de abril de 2026, o relatório indicava que o tesouro da Aave DAO detém US$ 181 milhões em ativos, incluindo US$ 62 milhões em participações correlacionadas ao Ethereum, US$ 54 milhões em AAVE e US$ 52 milhões em stablecoins. A DAO gerou US$ 145 milhões em receita durante 2025 e US$ 38 milhões no acumulado do ano em 2026. A Llamarisk confirmou que vários compromissos indicativos dos participantes do ecossistema já estão em vigor para lidar com possíveis cenários de dívidas incobráveis.

As reservas de WETH na Ethereum, Arbitrum, Base, Linea e Mantle estão com 100% de utilização, com saldos ociosos abaixo de US$ 20 em todas as cadeias. Com a utilização total, os liquidatários recebem aWETH em vez do WETH subjacente, o que retarda o ritmo das liquidações.

O relatório da Llamarisk sinalizou Base e Arbitrum como os mercados com menor reserva de segurança, com as primeiras liquidações acionadas em quedas de preço do WETH de 0,77% e 1,77%, respectivamente, devido a posições operando com fatores de saúde em torno de 1,03.

A Llamarisk recomendou uma pausa imediata do módulo de staking WETH Umbrella no Cenário 1. Até o momento da publicação do relatório, 18.922 dos 23.507 aWETH em staking haviam entrado no período de espera para desestaking.

Uma pausa bloquearia depósitos, saques, transferências e penalidades, mantendo ativa a distribuição de recompensas. Os quatro mercados restantes listados no rsETH — Ethereum Lido, MegaETH, Plasma e Zksync — apresentam saldos insignificantes e nenhuma dívida incobrável. Doze mercados adicionais do Aave V3 não listam o rsETH e não são afetados.