Báo cáo sự cố: Llamarisk và các nhà cung cấp dịch vụ Aave tiết lộ chi tiết vụ tấn công rsETH trên các thị trường Ethereum và Arbitrum

Điểm chính:

• Theo Llamarisk, một kẻ tấn công đã khai thác cầu nối Layerzero V2 của Kelp vào ngày 18 tháng 4 năm 2026, đúc 116.500 rsETH mà không có bất kỳ hành động đốt token tương ứng nào.
• Llamarisk ước tính khoản nợ xấu dao động từ $123,7 triệu đến $230,1 triệu trên 7 thị trường bị ảnh hưởng, tùy thuộc vào cách Kelp phân bổ tổn thất.
• Kho bạc Aave DAO nắm giữ $181 triệu tính đến ngày 20 tháng 4 năm 2026, và các nhà cung cấp dịch vụ đã bắt đầu thu thập các cam kết phục hồi sơ bộ từ các thành viên trong hệ sinh thái.

Llamarisk nêu chi tiết các kịch bản khai thác rsETH sau khi bộ điều hợp OFT của Kelp bị rút cạn

Phân tích được công bố bởi công ty quản lý rủi ro Llamarisk và các đồng tác giả là nhà cung cấp dịch vụ Aave giải thích rằng cuộc tấn công xảy ra vào lúc 17:35 UTC tại khối Ethereum 24.908.285. Theo báo cáo, tuyến đường từ Unichain sang Ethereum được cấu hình là đường dẫn DVN 1-of-1, có nghĩa là một trình xác minh duy nhất có thể chứng thực một gói tin đến mà không cần bất kỳ hành động gửi đi tương ứng nào.

Các tác giả của Llamarisk cho biết kẻ tấn công đã tạo ra một gói tin giả mạo, được xác minh, cam kết và chuyển đến Ethereum, giải phóng 116.500 rsETH từ bộ điều hợp, theo báo cáo của Aave. Số dư của bộ điều hợp đã giảm từ 116.723 rsETH xuống còn 223 rsETH chỉ trong một khối. Kẻ tấn công đã phân tán số rsETH bị đánh cắp từ một ví nhận vào bảy địa chỉ nhánh. Trong số 116.500 rsETH nhận được, 89.567 đã được gửi vào các thị trường Aave V3 trên Ethereum và Arbitrum làm tài sản thế chấp.
Các vị thế này được sử dụng để vay khoảng 82.650 WETH và 821 wstETH, với các hệ số sức khỏe dao động từ 1,01 đến 1,03. Tất cả bảy địa chỉ của kẻ tấn công vẫn đang hoạt động trên Aave tại thời điểm xuất bản.

Các nhà cung cấp dịch vụ Aave đã đồng tác giả báo cáo sự cố đầy đủ của Llamarisk và xác nhận rằng các hợp đồng thông minh của chính Aave không bị xâm phạm. Tất cả logic giao thức, bao gồm cơ chế cung cấp, trả nợ và thanh lý, tiếp tục hoạt động như thiết kế trong suốt sự kiện.

Protocol Guardian đã bắt đầu đóng băng tất cả dự trữ rsETH và wrsETH trên tất cả các triển khai Aave V3 vào khoảng 19:00 UTC ngày 18 tháng 4. Hành động này đã đặt tỷ lệ LTV về 0 và vô hiệu hóa việc cung cấp mới và vay mượn, đồng thời vẫn cho phép các vị thế hiện có đủ điều kiện để trả nợ và thanh lý. Theo phân tích trên diễn đàn Aave, 11 thị trường trên Ethereum, Arbitrum, Avalanche, Base, Ink, Linea, Mantle, MegaETH, Plasma và Zksync đã bị ảnh hưởng.

Báo cáo cho biết Risk Steward đã điều chỉnh các mô hình lãi suất WETH trên Arbitrum, Base, Mantle và Linea vào khoảng 14:30 UTC ngày 19 tháng 4, giảm Slope 2 xuống 1,50% và cắt giảm lãi suất vay ở mức sử dụng 100% từ 8,5% đến 10,5% xuống còn 3,0% APR. Một điều chỉnh tương ứng đã được áp dụng cho Core vào khoảng 05:00 UTC ngày 20 tháng 4, với Slope 1 được đặt ở mức 2%, Slope 2 ở mức 3% và mức sử dụng tối ưu được đặt ở mức 94%.

Protocol Guardian cũng đã đóng băng WETH trên Core, Prime, Arbitrum, Base, Mantle và Linea vào khoảng 02:00 UTC ngày 20 tháng 4 để ngăn chặn các khoản vay mới và ngăn chặn căng thẳng tiềm ẩn lây lan sang dự trữ stablecoin.

2 kịch bản

Hai kịch bản được mô hình hóa bởi phân tích của Llamarisk phản ánh cách quyết định phân bổ tổn thất của Kelp sẽ xác định mức rủi ro cuối cùng của giao thức. Kịch bản 1 giả định việc phân bổ đồng đều 112.204 rsETH không được bảo đảm trên toàn bộ nguồn cung rsETH, dẫn đến mức mất giá 15,12% và ước tính $123,7 triệu nợ xấu, trong đó Ethereum Core chịu $91,8 triệu theo giá trị tuyệt đối và Mantle đối mặt với thiếu hụt dự trữ WETH 9,54%.

Kịch bản 2 coi tổn thất chỉ giới hạn ở rsETH trên L2, áp dụng mức cắt giảm 73,54% đối với tài sản thế chấp trên các chuỗi từ xa trong khi giữ nguyên rsETH trên mainnet Ethereum, dẫn đến ước tính $230,1 triệu nợ xấu tập trung tại Mantle với thiếu hụt WETH 71,45% và Arbitrum ở mức 26,67%.

Số dư hiện tại của bộ điều hợp là 40.373 rsETH, là tài sản đảm bảo duy nhất được xác nhận cho tất cả rsETH trên các chuỗi từ xa qua mọi đường dẫn L2, so với tổng yêu cầu bồi thường từ xa là 152.577 rsETH. Kelp chưa công bố cách phân bổ các khoản tiền thu hồi.

Tính đến ngày 20 tháng 4 năm 2026, báo cáo cho biết kho bạc Aave DAO nắm giữ $181 triệu tài sản, bao gồm $62 triệu tài sản liên quan đến Ethereum, $54 triệu AAVE và $52 triệu stablecoin. DAO đã tạo ra $145 triệu doanh thu trong năm 2025 và $38 triệu tính đến thời điểm hiện tại trong năm 2026. Llamarisk xác nhận rằng một số cam kết sơ bộ từ các thành viên hệ sinh thái đã được thiết lập để đối phó với các kịch bản nợ xấu tiềm ẩn.

Dự trữ WETH trên Ethereum, Arbitrum, Base, Linea và Mantle đang ở mức sử dụng 100%, với số dư nhàn rỗi dưới $20 trên mỗi chuỗi. Khi sử dụng hết công suất, các nhà thanh lý nhận được aWETH thay vì WETH cơ sở, điều này làm chậm tốc độ thanh lý.

Báo cáo của Llamarisk đã chỉ ra Base và Arbitrum là các thị trường có khả năng chống chịu thấp nhất, với các đợt thanh lý đầu tiên được kích hoạt khi giá WETH giảm lần lượt 0,77% và 1,77%, do các vị thế đang hoạt động ở mức hệ số sức khỏe khoảng 1,03.

Llamarisk khuyến nghị tạm dừng ngay lập tức mô-đun staking WETH Umbrella theo Kịch bản 1. Tính đến thời điểm công bố báo cáo, 18.922 trong số 23.507 aWETH đã staking đã bước vào giai đoạn chờ rút staking.

Việc tạm dừng sẽ chặn các hoạt động gửi, rút, chuyển khoản và cắt giảm phần thưởng, trong khi vẫn duy trì việc phân phối phần thưởng. Bốn thị trường còn lại niêm yết rsETH, bao gồm Ethereum Lido, MegaETH, Plasma và Zksync, có số dư nhỏ và không có nợ xấu. Mười hai thị trường Aave V3 khác không niêm yết rsETH và không bị ảnh hưởng.