Llamarisk: Kelp-rsETH-Bridge-Hack erhöht Bad-Debt-Risiko in Aave-Märkten

Ein von Llamarisk im Aave-Forum veröffentlichter Incident-Report beschreibt die Folgen eines Bridge-Exploits gegen KelpDAO: Am Samstag nutzte ein Angreifer die Layerzero-V2-Route für rsETH aus und zog 116.500 rsETH aus dem Ethereum-OFT-Adapter ab, ohne auf der Ursprungskette Token zu verbrennen. Laut Analyse waren Aave-V3-Märkte dadurch potenziell einem Bad-Debt-Risiko von 123,7 bis 230,1 Mio. US-Dollar ausgesetzt – abhängig davon, wie Kelp Verluste verteilt. Nach Angaben der Autoren ereignete sich der Angriff am 18. April 2026 um 17:35 UTC in Ethereum-Block 24.908.285. Die Route Unichain-to-Ethereum sei als "1of1"-DVN-Pfad konfiguriert gewesen, wodurch ein einzelner Verifier ein eingehendes Paket attestieren konnte, ohne dass eine korrespondierende ausgehende Aktion erforderlich war. Der Angreifer habe ein Paket gefälscht, das auf Ethereum verifiziert, committed und ausgeliefert wurde; dadurch wurden 116.500 rsETH aus dem Adapter freigegeben. Der Adapter-Bestand fiel innerhalb eines Blocks von 116.723 rsETH auf 223 rsETH. Die erbeuteten rsETH wurden laut Bericht von einer Intake-Wallet auf sieben Adressen verteilt. Von den 116.500 rsETH wurden 89.567 als Sicherheiten in Aave-V3-Märkten auf Ethereum und Arbitrum hinterlegt. Auf Basis dieser Positionen lieh der Angreifer rund 82.650 WETH und 821 wstETH; die Health Factors lagen zwischen 1,01 und 1,03. Zum Zeitpunkt der Veröffentlichung seien alle sieben Adressen weiterhin auf Aave aktiv. Aave-Service-Provider wirkten am vollständigen Incident-Report mit und betonten, dass die Smart Contracts von Aave nicht kompromittiert wurden. Protokollfunktionen wie Supply, Rückzahlung und Liquidation hätten während des Vorfalls wie vorgesehen funktioniert. Der Protocol Guardian begann am 18. April gegen 19:00 UTC damit, rsETH- und wrsETH-Reserven in allen Aave-V3-Deployments einzufrieren. Dabei wurde die LTV auf null gesetzt sowie neue Einzahlungen und Kredite deaktiviert; bestehende Positionen blieben für Rückzahlungen und Liquidationen offen. Der Forumsanalyse zufolge waren elf Märkte über Ethereum, Arbitrum, Avalanche, Base, Ink, Linea, Mantle, MegaETH, Plasma und Zksync betroffen. Zusätzlich passte der Risk Steward am 19. April gegen 14:30 UTC die WETH-Zinsmodelle auf Arbitrum, Base, Mantle und Linea an: Slope 2 wurde auf 1,50% gesenkt, der Borrow Rate bei 100% Auslastung von zuvor 8,5% bis 10,5% auf 3,0% APR reduziert. Eine entsprechende Anpassung für Core folgte am 20. April gegen 05:00 UTC mit Slope 1 von 2%, Slope 2 von 3% und einer optimalen Auslastung von 94%. Der Protocol Guardian fror am 20. April gegen 02:00 UTC zudem WETH auf Core, Prime, Arbitrum, Base, Mantle und Linea ein, um neue Kreditaufnahmen zu stoppen und möglichen Stress von den Stablecoin-Reserven fernzuhalten. Llamarisk modelliert zwei Szenarien, in denen die Entscheidung von Kelp zur Verlustallokation den endgültigen Risikoumfang bestimmt. Szenario 1 geht von einer gleichmäßigen Sozialisierung der 112.204 unbesicherten rsETH über das gesamte rsETH-Angebot aus. Daraus ergäbe sich ein Depeg von 15,12% und geschätzte 123,7 Mio. US-Dollar Bad Debt; Ethereum Core würde dabei absolut 91,8 Mio. US-Dollar tragen, Mantle hätte ein WETH-Reserven-Defizit von 9,54%. Szenario 2 behandelt den Verlust als auf L2-rsETH begrenzt. In diesem Fall würde auf Remote-Chains ein Haircut von 73,54% auf Sicherheiten angewandt, während rsETH auf Ethereum-Mainnet vollständig intakt bliebe. Das würde laut Modell rund 230,1 Mio. US-Dollar Bad Debt bedeuten, konzentriert auf Mantle mit 71,45% WETH-Shortfall und Arbitrum mit 26,67%. Der aktuelle Adapter-Bestand liegt bei 40.373 rsETH und ist laut Bericht die einzige bestätigte Deckung für sämtliches Remotechain-rsETH über alle L2-Pfade, bei Remote-Ansprüchen von insgesamt 152.577 rsETH. Kelp habe öffentlich noch nicht bestätigt, wie zurückgewonnene Mittel verteilt werden. Per 20. April 2026 beziffert der Report das Vermögen der Aave-DAO-Treasury auf 181 Mio. US-Dollar, darunter 62 Mio. US-Dollar in Ethereum-korrelierten Beständen, 54 Mio. US-Dollar in AAVE und 52 Mio. US-Dollar in Stablecoins. Die DAO erzielte 2025 Umsätze von 145 Mio. US-Dollar und 2026 bislang 38 Mio. US-Dollar. Llamarisk verweist zudem auf bereits vorliegende indikative Zusagen von Ökosystem-Teilnehmern zur Abfederung möglicher Bad-Debt-Szenarien. Die WETH-Reserven auf Ethereum, Arbitrum, Base, Linea und Mantle seien zu 100% ausgelastet; freie Bestände lägen auf jeder Chain unter 20 US-Dollar. Bei Vollauslastung erhalten Liquidatoren aWETH statt des zugrunde liegenden WETH, was die Liquidationsgeschwindigkeit bremst. Als am wenigsten gepufferte Märkte nennt der Report Base und Arbitrum: Erste Liquidationen würden bereits bei WETH-Preisrückgängen von 0,77% beziehungsweise 1,77% ausgelöst, da die Positionen mit Health Factors um 1,03 laufen. Unter Szenario 1 empfiehlt Llamarisk eine sofortige Pause des WETH-Umbrella-Staking-Moduls. Zum Zeitpunkt der Veröffentlichung befanden sich 18.922 von 23.507 gestakten aWETH in der Unstaking-Cooldown-Phase. Eine Pause würde Einzahlungen, Auszahlungen, Transfers und Slashing blockieren, während die Rewards-Verteilung weiterliefe. Die verbleibenden vier rsETH-gelisteten Märkte (Ethereum Lido, MegaETH, Plasma und Zksync) wiesen nur geringe Bestände auf und kein Bad Debt. Weitere zwölf Aave-V3-Märkte listen kein rsETH und sind nicht betroffen.