Звіт про інцидент: Llamarisk та постачальники послуг Aave детально описують злом Kelp rsETH на ринках Ethereum та Arbitrum

Ключові висновки:

• За даними Llamarisk, 18 квітня 2026 року зловмисник скористався мостом Layerzero V2 від Kelp, випустивши 116 500 rsETH без відповідного спалення.
• Llamarisk оцінює безнадійну заборгованість у розмірі від 123,7 млн до 230,1 млн доларів на 7 ринках, що зазнали впливу, залежно від того, як Kelp розподілить збитки.
• Станом на 20 квітня 2026 року казна Aave DAO містить 181 млн доларів, а постачальники послуг вже отримують попередні зобов'язання щодо відшкодування від учасників екосистеми.

Llamarisk детально описує сценарії експлуатації rsETH після виведення коштів з адаптера Kelp OFT

Аналіз, опублікований компанією з управління ризиками Llamarisk та співавторами-постачальниками послуг Aave, пояснює, що атака сталася о 17:35 UTC у блоці Ethereum 24 908 285. Згідно з доповіддю, маршрут Unichain-to-Ethereum був налаштований як шлях 1-of-1 DVN, що означає, що один верифікатор міг засвідчити вхідний пакет без будь-якої відповідної вихідної дії.

Автори Llamarisk зазначили, що зловмисник підробив пакет, який був перевірений, зафіксований та доставлений в Ethereum, вивільнивши 116 500 rsETH з адаптера, як зазначається у звіті Aave. Баланс адаптера впав з 116 723 rsETH до 223 rsETH за один блок. Зловмисник розподілив вкрадені rsETH з одного приймального гаманця між сімома адресами-гілками. З отриманих 116 500 rsETH 89 567 було внесено на ринки Aave V3 на Ethereum та Arbitrum як заставу.

Ці позиції були використані для позики приблизно 82 650 WETH та 821 wstETH, при цьому коефіцієнти надійності становили від 1,01 до 1,03. На момент публікації всі сім адрес зловмисника залишаються активними на Aave.

Постачальники послуг Aave стали співавторами повного звіту Llamarisk про інцидент і підтвердили, що власні смарт-контракти Aave не були скомпрометовані. Вся логіка протоколу, включаючи механізми постачання, погашення та ліквідації, продовжувала функціонувати згідно з планом протягом усього інциденту.

Protocol Guardian почав заморожувати всі резерви rsETH та wrsETH у всіх розгортаннях Aave V3 приблизно о 19:00 UTC 18 квітня. Ця дія встановила LTV на нуль і вимкнула нове постачання та запозичення, залишивши існуючі позиції придатними для погашення та ліквідації. Згідно з аналізом форуму Aave, це вплинуло на одинадцять ринків на Ethereum, Arbitrum, Avalanche, Base, Ink, Linea, Mantle, MegaETH, Plasma та Zksync.

У звіті зазначено, що Risk Steward скоригував моделі процентних ставок WETH на Arbitrum, Base, Mantle та Linea приблизно о 14:30 UTC 19 квітня, знизивши Slope 2 до 1,50% та зменшивши ставку позики при 100-відсотковому використанні з 8,5–10,5% до 3,0% річних. Відповідне коригування було застосовано до Core приблизно о 05:00 UTC 20 квітня, при цьому Slope 1 було встановлено на рівні 2 відсотків, Slope 2 — на рівні 3 відсотків, а оптимальне використання — на рівні 94 відсотків.

Протокол Guardian також заморозив WETH на Core, Prime, Arbitrum, Base, Mantle та Linea приблизно о 02:00 UTC 20 квітня, щоб запобігти новим запозиченням та стримати поширення потенційного стресу на резерви стейблкоїнів.

2 сценарії

Два сценарії, змодельовані в аналізі Llamarisk, відображають, як рішення Kelp щодо розподілу збитків визначить остаточну експозицію протоколу. Сценарій 1 передбачає рівномірний розподіл 112 204 rsETH без забезпечення по всьому обсягу rsETH, що призведе до відхилення від паритету на 15,12% та приблизно 123,7 млн доларів безнадійної заборгованості, при цьому Ethereum Core поглине 91,8 млн доларів в абсолютному вираженні, а Mantle зіткнеться з дефіцитом резерву WETH у розмірі 9,54%.

Сценарій 2 розглядає збитки як ізольовані лише для L2 rsETH, застосовуючи 73,54-відсоткове знецінення застави на віддалених ланцюгах, залишаючи при цьому rsETH основної мережі Ethereum повністю недоторканим, що призведе до приблизно 230,1 млн доларів безнадійної заборгованості, зосередженої на Mantle з дефіцитом WETH у 71,45% та Arbitrum у 26,67%.

Поточний баланс адаптера становить 40 373 rsETH — єдине підтверджене забезпечення для всіх rsETH віддалених ланцюгів по всіх шляхах L2 — проти загальних віддалених вимог у розмірі 152 577 rsETH. Kelp публічно не підтвердив, як будуть розподілені відновлені кошти.

Станом на 20 квітня 2026 року, згідно зі звітом, казначейство Aave DAO володіє активами на суму 181 млн доларів, включаючи 62 млн доларів у активах, пов'язаних з Ethereum, 54 млн доларів у AAVE та 52 млн доларів у стейблкоінах. DAO отримало 145 млн доларів доходу протягом 2025 року та 38 млн доларів з початку 2026 року. Llamarisk підтвердила, що учасники екосистеми вже взяли на себе низку попередніх зобов'язань щодо вирішення потенційних сценаріїв безнадійної заборгованості.

Резерви WETH на Ethereum, Arbitrum, Base, Linea та Mantle використовуються на 100%, а залишки на рахунках у кожному ланцюжку не перевищують 20 доларів. При повному використанні ліквідатори отримують aWETH замість базового WETH, що уповільнює пропускну здатність ліквідації.

У звіті Llamarisk зазначено, що Base та Arbitrum є ринками з найменшим запасом міцності, де перші ліквідації запускаються при падінні ціни WETH на 0,77% та 1,77% відповідно, через позиції, що працюють з коефіцієнтом здоров'я близько 1,03.

Llamarisk рекомендував негайну паузу модуля стейкінгу WETH Umbrella за сценарієм 1. На момент публікації звіту 18 922 з 23 507 застейкованих aWETH увійшли в період охолодження розстейкінгу.

Призупинення заблокує депозити, зняття коштів, перекази та штрафи, одночасно зберігаючи активний розподіл винагород. Решта чотири ринки, на яких котирується rsETH, — Ethereum Lido, MegaETH, Plasma та Zksync — мають незначні залишки та відсутність безнадійної заборгованості. Ще дванадцять ринків Aave V3 не котирують rsETH і не зазнають впливу.