Poročilo o incidentu: Llamarisk in ponudniki storitev Aave podrobno opisujejo hekerski napad na rsETH v omrežjih Ethereum in Arbitrum

Ključne ugotovitve:

• Po podatkih Llamariska je napadalec 18. aprila 2026 izkoristil Kelpov most Layerzero V2 in izdal 116.500 rsETH brez ustreznega uničenja.
• Llamarisk ocenjuje slabe dolgove med 123,7 milijona in 230,1 milijona dolarjev na 7 prizadetih trgih, odvisno od tega, kako bo Kelp porazdelil izgube.
• Blagajna Aave DAO ima 20. aprila 2026 181 milijonov dolarjev, ponudniki storitev pa že pridobivajo okvirne zaveze za izterjavo od udeležencev ekosistema.

Llamarisk podrobno opisuje scenarije izkoriščanja rsETH po izpraznitvi Kelp OFT adapterja

Analiza, ki so jo objavili soavtorji iz podjetja za upravljanje tveganj Llamarisk in ponudnika storitev Aave, pojasnjuje, da se je napad zgodil ob 17:35 UTC v bloku Ethereum 24.908.285. Pot Unichain-Ethereum je bila konfigurirana kot pot 1-of-1 DVN, kar pomeni, da je en sam preveritelj lahko potrdil vhodni paket brez ustreznega izhodnega ukrepa, navaja poročilo.

Avtorji Llamarisk so navedli, da je napadalec ponaredil paket, ki je bil preverjen, potrjen in dostavljen na Ethereumu, s čimer je iz adapterja sprostil 116.500 rsETH, navaja poročilo Aave. Stanje na adapterju se je v enem samem bloku zmanjšalo s 116.723 rsETH na 223 rsETH. Napadalec je ukradeni rsETH razporedil iz ene sprejemne denarnice na sedem naslovov veje. Od prejetih 116.500 rsETH je bilo 89.567 deponiranih na trgih Aave V3 na Ethereumu in Arbitrumu kot zavarovanje.
Te pozicije so bile uporabljene za izposojo približno 82.650 WETH in 821 wstETH, pri čemer so se zdravstveni faktorji gibali med 1,01 in 1,03. Vseh sedem naslovov napadalca ostaja ob objavi tega poročila aktivnih na Aave.

Ponudniki storitev Aave so soavtorili celotno poročilo o incidentu podjetja Llamarisk in potrdili, da lastne pametne pogodbe Aave niso bile ogrožene. Vsa logika protokola, vključno z mehanizmi ponudbe, odplačila in likvidacije, je med celotnim dogodkom delovala v skladu z načrtom.
Protocol Guardian je 18. aprila okoli 19:00 UTC začel zamrzovati vse rezerve rsETH in wrsETH v vseh razporeditvah Aave V3. Ta ukrep je LTV nastavil na nič in onemogočil novo ponudbo in najemanje, medtem ko so obstoječe pozicije ostale upravičene do odplačila in likvidacije. Po analizi foruma Aave je bilo prizadetih enajst trgov na platformah Ethereum, Arbitrum, Avalanche, Base, Ink, Linea, Mantle, MegaETH, Plasma in Zksync.

Poročilo navaja, da je Risk Steward 19. aprila okoli 14:30 UTC prilagodil modele obrestnih mer WETH na Arbitrumu, Base, Mantle in Linei, pri čemer je Slope 2 znižal na 1,50 odstotka, obrestno mero za izposojo pri 100-odstotni izkoriščenosti pa zmanjšal z 8,5 do 10,5 odstotka na 3,0 odstotka APR. Ustrezna prilagoditev je bila izvedena na Core približno ob 05:00 UTC 20. aprila, pri čemer je bil Slope 1 nastavljen na 2 odstotka, Slope 2 na 3 odstotke, optimalna izkoriščenost pa na 94 odstotkov.

Protocol Guardian je 20. aprila ob približno 02:00 UTC zamrznil tudi WETH na Core, Prime, Arbitrum, Base, Mantle in Linea, da bi preprečil nova posojila in omejil širjenje morebitnega stresa na rezerve stabilnih kriptovalut.

2 scenarija

Dva scenarija, ki ju je modeliral Llamarisk v svoji analizi, odražata, kako bo Kelpova odločitev o razporeditvi izgub določila končno izpostavljenost protokola. Scenarij 1 predvideva enakomerno porazdelitev 112.204 nepokritih rsETH po celotni ponudbi rsETH, kar povzroči 15,12-odstotno odstopanje od vezave in ocenjene slabe dolgove v višini 123,7 milijona dolarjev, pri čemer Ethereum Core v absolutnem smislu prevzame 91,8 milijona dolarjev, Mantle pa se sooča z 9,54-odstotnim primanjkljajem v rezervah WETH.

Scenarij 2 obravnava izgubo kot omejeno izključno na L2 rsETH, pri čemer uporabi 73,54-odstotni odbitek na zavarovanje na oddaljenih verigah, medtem ko pusti rsETH v glavnem omrežju Ethereuma popolnoma nedotaknjenega, kar povzroči ocenjene 230,1 milijona dolarjev slabih dolgov, koncentriranih na Mantle z 71,45-odstotnim primanjkljajem WETH in Arbitrum z 26,67 odstotka.

Trenutno stanje adapterja znaša 40.373 rsETH, kar je edino potrjeno kritje za vse rsETH na oddaljenih verigah po vseh poteh L2, v primerjavi s skupnimi oddaljenimi terjatvami v višini 152.577 rsETH. Kelp ni javno potrdil, kako bodo dodeljena izterjana sredstva.

Poročilo navaja, da je imela blagajna Aave DAO 20. aprila 2026 v lasti 181 milijonov dolarjev sredstev, vključno z 62 milijoni dolarjev v naložbah, povezanih z Ethereumom, 54 milijoni dolarjev v AAVE in 52 milijoni dolarjev v stabilnih kriptovalutah. DAO je v letu 2025 ustvaril 145 milijonov dolarjev prihodkov, v letu 2026 pa 38 milijonov dolarjev od začetka leta. Llamarisk je potrdil, da je že sklenjenih več okvirnih zavez udeležencev ekosistema za obravnavo morebitnih scenarijev slabih dolgov.
Rezerve WETH na Ethereumu, Arbitrumu, Base, Linei in Mantle so izkoriščene v 100 odstotkih, pri čemer so neizkoriščena sredstva na vsaki verigi nižja od 20 dolarjev. Pri polni izkoriščenosti likvidatorji prejemajo aWETH namesto osnovnega WETH, kar upočasni likvidacijski pretok.

Poročilo Llamariska je označilo Base in Arbitrum kot trga z najmanjšo rezervo, pri čemer so se prve likvidacije sprožile ob padcu cene WETH za 0,77 % oziroma 1,77 %, ker so pozicije delovale pri zdravstvenih faktorjih okoli 1,03.

Llamarisk je priporočil takojšnjo začasno ustavitev modula za staking WETH Umbrella v skladu s scenarijem 1. Ob objavi poročila je 18.922 od 23.507 stakiranih aWETH vstopilo v obdobje mirovanja za razveljavitev stakinga.

Zaustavitev bi blokirala vplačila, izplačila, prenose in zmanjševanje nagrad, hkrati pa bi ohranila aktivno razdeljevanje nagrad. Preostali štirje trgi, na katerih je rsETH uvrščen, Ethereum Lido, MegaETH, Plasma in Zksync, imajo zanemarljiva stanja in nimajo slabih dolgov. Dvanajst dodatnih trgov Aave V3 ne uvršča rsETH in niso prizadeti.