Отчет об инциденте: Llamarisk и поставщики услуг Aave подробно описывают взлом Kelp rsETH на рынках Ethereum и Arbitrum

Ключевые выводы:

• По данным Llamarisk, 18 апреля 2026 года злоумышленник воспользовался мостом Layerzero V2 от Kelp, выпустив 116 500 rsETH без соответствующего сжигания.
• Llamarisk оценивает безнадежные долги в диапазоне от 123,7 млн до 230,1 млн долларов на 7 затронутых рынках, в зависимости от того, как Kelp распределит убытки.
• По состоянию на 20 апреля 2026 года казна Aave DAO располагает 181 млн долларов, и поставщики услуг уже получают от участников экосистемы предварительные обязательства по возмещению убытков.

Llamarisk подробно описывает сценарии использования уязвимости rsETH после опустошения адаптера Kelp OFT

В анализе, опубликованном компанией по управлению рисками Llamarisk и соавторами-поставщиками услуг Aave, объясняется, что атака произошла в 17:35 UTC в блоке Ethereum № 24 908 285. Согласно отчету, маршрут Unichain-to-Ethereum был настроен как путь DVN 1-of-1, что означает, что один верификатор мог подтвердить входящий пакет без каких-либо соответствующих исходящих действий.

Авторы Llamarisk заявили, что злоумышленник подделал пакет, который был проверен, зафиксирован и доставлен в Ethereum, высвободив 116 500 rsETH из адаптера, отмечается в отчете Aave. Баланс адаптера упал с 116 723 rsETH до 223 rsETH за один блок. Злоумышленник распределил похищенные rsETH из одного кошелька-приемника по семи адресам-ветвям. Из полученных 116 500 rsETH 89 567 были внесены в качестве залога на рынки Aave V3 на Ethereum и Arbitrum.
Эти позиции были использованы для заимствования примерно 82 650 WETH и 821 wstETH, при этом коэффициенты надежности составляли от 1,01 до 1,03. На момент публикации все семь адресов злоумышленника остаются активными в Aave.

Поставщики услуг Aave стали соавторами полного отчета Llamarisk об инциденте и подтвердили, что собственные смарт-контракты Aave не были скомпрометированы. Вся логика протокола, включая механизмы предоставления, погашения и ликвидации, продолжала функционировать в соответствии с замыслом на протяжении всего события.

Protocol Guardian начал замораживать все резервы rsETH и wrsETH во всех развертываниях Aave V3 примерно в 19:00 UTC 18 апреля. Это действие установило LTV на ноль и отключило новое предложение и заимствование, оставив при этом существующие позиции доступными для погашения и ликвидации. Согласно анализу форума Aave, это затронуло одиннадцать рынков на Ethereum, Arbitrum, Avalanche, Base, Ink, Linea, Mantle, MegaETH, Plasma и Zksync.

В отчете говорится, что 19 апреля примерно в 14:30 UTC Risk Steward скорректировал модели процентных ставок WETH на Arbitrum, Base, Mantle и Linea, снизив Slope 2 до 1,50% и сократив ставку заимствования при 100-процентном использовании с 8,5–10,5% до 3,0% годовых. Соответствующая корректировка была применена к Core примерно в 05:00 UTC 20 апреля, при этом Slope 1 был установлен на 2%, Slope 2 — на 3%, а оптимальная загрузка — на 94%.

Protocol Guardian также заморозил WETH на Core, Prime, Arbitrum, Base, Mantle и Linea примерно в 02:00 UTC 20 апреля, чтобы предотвратить новые заимствования и сдержать распространение потенциального стресса на резервы стейблкоинов.

Два сценария

Два сценария, смоделированные в анализе Llamarisk, отражают то, как решение Kelp о распределении убытков определит окончательную подверженность риску протокола. Сценарий 1 предполагает равномерное распределение 112 204 rsETH без обеспечения по всему объему rsETH, что приводит к отклонению от привязки на 15,12% и примерно 123,7 млн долларов безнадежной задолженности, при этом Ethereum Core поглощает 91,8 млн долларов в абсолютном выражении, а Mantle сталкивается с дефицитом резерва WETH в 9,54%.

Сценарий 2 рассматривает убыток как изолированный только для rsETH L2, применяя дисконт в 73,54% к залогу на удаленных цепочках, оставляя при этом rsETH основной сети Ethereum полностью нетронутым, что приводит к примерно 230,1 млн долларов безнадежных долгов, сконцентрированных на Mantle с дефицитом WETH в 71,45% и на Arbitrum в 26,67%.

Текущий баланс адаптера составляет 40 373 rsETH — единственное подтвержденное обеспечение для всех rsETH удаленных цепочек по всем L2-путям — при общем объеме удаленных требований в 152 577 rsETH. Kelp публично не подтвердил, как будут распределены возвращенные средства.

По состоянию на 20 апреля 2026 года, согласно отчету, казна Aave DAO содержит активы на сумму 181 млн долларов, включая 62 млн долларов в активах, коррелирующих с Ethereum, 54 млн долларов в AAVE и 52 млн долларов в стейблкоинах. DAO получила 145 млн долларов дохода в 2025 году и 38 млн долларов с начала 2026 года. Llamarisk подтвердила, что участники экосистемы уже взяли на себя ряд ориентировочных обязательств по устранению потенциальных сценариев проблемной задолженности.
Резервы WETH на Ethereum, Arbitrum, Base, Linea и Mantle используются на 100%, при этом неиспользуемые остатки на каждой цепочке составляют менее 20 долларов. При полном использовании ликвидаторы получают aWETH, а не базовый WETH, что замедляет пропускную способность ликвидации.

В отчете Llamarisk Base и Arbitrum были отмечены как рынки с наименьшим запасом прочности, где первые ликвидации запускаются при падении цены WETH на 0,77% и 1,77% соответственно из-за позиций, работающих с коэффициентом здоровья около 1,03.

Llamarisk рекомендовал немедленную приостановку модуля стейкинга WETH Umbrella в рамках сценария 1. На момент публикации отчета 18 922 из 23 507 заложенных aWETH вошли в период ожидания после снятия стейкинга.

Приостановка заблокирует депозиты, снятие средств, переводы и штрафы, сохранив при этом распределение вознаграждений. Остальные четыре рынка, на которых котируется rsETH — Ethereum Lido, MegaETH, Plasma и Zksync — имеют незначительные остатки и отсутствие просроченной задолженности. Двенадцать дополнительных рынков Aave V3 не котируют rsETH и не затронуты.