Olay Raporu: Llamarisk ve Aave hizmet sağlayıcıları, Ethereum ve Arbitrum piyasalarında yaşanan Kelp rsETH saldırısının ayrıntılarını açıkladı

Önemli Noktalar:

• Llamarisk'e göre, bir saldırgan 18 Nisan 2026'da Kelp'in Layerzero V2 köprüsünü istismar ederek, karşılık gelen herhangi bir yakma işlemi yapmadan 116.500 rsETH basmıştır.
• Llamarisk, Kelp'in kayıpları nasıl paylaştıracağına bağlı olarak, etkilenen 7 piyasada 123,7 milyon ile 230,1 milyon dolar arasında bir kötü borç tahmini yapıyor.
• Aave DAO hazinesi, 20 Nisan 2026 itibarıyla 181 milyon dolar tutarında bir kaynağa sahiptir ve hizmet sağlayıcılar, ekosistem katılımcılarından şimdiden gösterge niteliğinde geri ödeme taahhütleri almaktadır.

Llamarisk, Kelp OFT Adaptörünün Boşaltılmasının Ardından rsETH Sömürü Senaryolarını Ayrıntılı Olarak Açıklıyor

Risk yönetimi şirketi Llamarisk ve Aave hizmet sağlayıcılarının ortak yazarları tarafından yayınlanan analizde, saldırının UTC saat 17:35'te Ethereum blok 24.908.285'te gerçekleştiği açıklandı. Rapora göre, Unichain-Ethereum rotası 1-of-1 DVN yolu olarak yapılandırılmıştı; bu, tek bir doğrulayıcının, karşılık gelen herhangi bir giden eylem olmaksızın gelen bir paketi onaylayabileceği anlamına geliyor.

Aave raporuna göre, Llamarisk yazarları, saldırganın Ethereum'da doğrulanmış, onaylanmış ve teslim edilmiş bir paket oluşturduğunu ve adaptörden 116.500 rsETH serbest bıraktığını belirtti. Adaptör bakiyesi tek bir blokta 116.723 rsETH'den 223 rsETH'ye düştü. Saldırgan, çalınan rsETH'yi bir giriş cüzdanından yedi dal adresine dağıttı. Alınan 116.500 rsETH'nin 89.567'si, teminat olarak Ethereum ve Arbitrum üzerindeki Aave V3 piyasalarına yatırıldı.
Bu pozisyonlar, sağlık faktörleri 1,01 ile 1,03 arasında değişen yaklaşık 82.650 WETH ve 821 wstETH borçlanmak için kullanıldı. Yayınlandığı tarihte saldırganın yedi adresinin tümü Aave'de aktif durumda.

Aave hizmet sağlayıcıları, Llamarisk'in tam olay raporunun ortak yazarları olarak, Aave'nin kendi akıllı sözleşmelerinin tehlikeye atılmadığını doğruladılar. Arz, geri ödeme ve tasfiye mekanizmaları dahil olmak üzere tüm protokol mantığı, olay boyunca tasarlandığı gibi çalışmaya devam etti.

Protocol Guardian, 18 Nisan saat 19:00 UTC civarında tüm Aave V3 dağıtımlarındaki tüm rsETH ve wrsETH rezervlerini dondurmaya başladı. Bu eylem, LTV'yi sıfıra ayarladı ve yeni arz ve borçlanmayı devre dışı bırakırken, mevcut pozisyonların geri ödeme ve tasfiyeye uygun kalmasını sağladı. Aave forum analizine göre, Ethereum, Arbitrum, Avalanche, Base, Ink, Linea, Mantle, MegaETH, Plasma ve Zksync'teki on bir piyasa etkilendi.

Rapora göre, Risk Steward 19 Nisan saat 14:30 UTC civarında Arbitrum, Base, Mantle ve Linea'daki WETH faiz oranı modellerini ayarladı; Slope 2'yi yüzde 1,50'ye düşürdü ve yüzde 100 kullanımda borçlanma oranını yüzde 8,5 ile 10,5 arasından yıllık yüzde 3,0'a indirdi. 20 Nisan saat 05:00 UTC civarında Core'da da benzer bir ayarlama yapıldı; Slope 1 yüzde 2, Slope 2 yüzde 3 ve optimal kullanım oranı yüzde 94 olarak belirlendi.

Protokol Guardian ayrıca, yeni borçlanmaları önlemek ve potansiyel stresin stabilcoin rezervlerine yayılmasını engellemek için 20 Nisan saat 02:00 UTC civarında Core, Prime, Arbitrum, Base, Mantle ve Linea'daki WETH'i dondurdu.

2 Senaryo

Llamarisk'in analizinde modellenen iki senaryo, Kelp'in zarar tahsis kararının protokolün nihai riskini nasıl belirleyeceğini yansıtıyor. Senaryo 1, 112.204 adet teminatsız rsETH'nin tüm rsETH arzı boyunca eşit bir şekilde dağıtıldığını varsayıyor; bu da yüzde 15,12'lik bir depeg ve tahmini 123,7 milyon dolarlık batık borç yaratıyor. Bu durumda Ethereum Core mutlak olarak 91,8 milyon doları üstlenirken, Mantle yüzde 9,54'lük bir WETH rezerv açığıyla karşı karşıya kalıyor.

Senaryo 2, zararı yalnızca L2 rsETH ile sınırlı olarak ele alır ve uzak zincirlerdeki teminatlara yüzde 73,54'lük bir kesinti uygularken, Ethereum ana ağındaki rsETH'yi tamamen dokunulmaz bırakır; bu da Mantle'da yüzde 71,45'lik ve Arbitrum'da yüzde 26,67'lik WETH açığıyla Mantle'da yoğunlaşan tahmini 230,1 milyon dolarlık batık borç üretir.

Mevcut adaptör bakiyesi, tüm L2 yollarındaki tüm uzak zincir rsETH'leri için tek onaylanmış destek olan 40.373 rsETH'dir; buna karşılık toplam uzak talep 152.577 rsETH'dir. Kelp, geri kazanılan fonların nasıl tahsis edileceğini kamuoyuna açıklamadı.

Rapora göre, 20 Nisan 2026 itibarıyla Aave DAO hazinesi, 62 milyon dolarlık Ethereum ile ilişkili varlıklar, 54 milyon dolarlık AAVE ve 52 milyon dolarlık stabilcoin dahil olmak üzere 181 milyon dolarlık varlığa sahiptir. DAO, 2025 yılında 145 milyon dolar gelir elde etmiş ve 2026 yılının başından bu yana 38 milyon dolar gelir kaydetmiştir. Llamarisk, potansiyel kötü borç senaryolarını ele almak için ekosistem katılımcılarından gelen birkaç gösterge niteliğinde taahhüdün halihazırda yürürlükte olduğunu doğruladı.
Ethereum, Arbitrum, Base, Linea ve Mantle'daki WETH rezervleri yüzde 100 kullanım oranındadır ve her zincirde 20 doların altında atıl bakiye bulunmaktadır. Tam kullanımda, tasfiye memurları temel WETH yerine aWETH alırlar, bu da tasfiye iş hacmini yavaşlatır.

Llamarisk'in raporu, Base ve Arbitrum'u en az tamponlu piyasalar olarak işaretledi; pozisyonların sağlık faktörleri 1,03 civarında seyrettiği için ilk likidasyonlar sırasıyla WETH fiyatındaki %0,77 ve %1,77'lik düşüşlerde tetikleniyor.

Llamarisk, Senaryo 1 kapsamında WETH Umbrella staking modülünün derhal durdurulmasını önerdi. Raporun yayınlandığı tarihte, 23.507 adet stake edilmiş aWETH'in 18.922'si staking kaldırma bekleme süresine girmişti.

Bir duraklama, ödül dağıtımını aktif tutarken para yatırma, çekme, transfer ve kesintileri engelleyecektir. Kalan dört rsETH listelenen piyasa, Ethereum Lido, MegaETH, Plasma ve Zksync, önemsiz bakiyelere sahiptir ve kötü borçları yoktur. On iki ek Aave V3 piyasası rsETH'yi listelememektedir ve etkilenmemiştir.