Отчёт Llamarisk: как взлом rsETH в Kelp повлиял на рынки Aave

Опубликованный в форуме Aave отчёт Llamarisk описывает инцидент с мостом KelpDAO: в субботу атакующий использовал уязвимость маршрута LayerZero V2 для rsETH и вывел 116,500 rsETH из OFT-адаптера Ethereum, не сжигая токены в исходной сети. По оценке Llamarisk, из-за этого рынки Aave V3 могли столкнуться с потенциальным "плохим" долгом на сумму от $123,7 млн до $230,1 млн — диапазон зависит от того, как Kelp распределит убытки. Ключевые выводы: — Llamarisk указывает, что 18 апреля 2026 года злоумышленник эксплуатировал мост Kelp на LayerZero V2 и сминтил 116,500 rsETH без соответствующего burn. — Потенциальный bad debt оценивается в $123,7–$230,1 млн по 7 затронутым рынкам — в зависимости от выбранной схемы "социализации" потерь. — Казначейство Aave DAO на 20 апреля 2026 года составляет $181 млн; сервис-провайдеры уже получают предварительные обязательства по восстановлению от участников экосистемы. Как прошла атака и что сделал Aave Llamarisk и соавторы из числа сервис-провайдеров Aave пишут, что атака произошла в 17:35 UTC в блоке Ethereum 24,908,285. Маршрут Unichain→Ethereum был настроен как 1of1 DVN path: один верификатор мог подтвердить входящий пакет без какого-либо исходящего действия. По версии авторов отчёта, атакующий подделал пакет, который прошёл проверку, был закоммичен и доставлен в Ethereum, после чего из адаптера высвободились 116,500 rsETH. Баланс адаптера за один блок сократился с 116,723 rsETH до 223 rsETH. Похищенные rsETH распределили с одного входного кошелька на семь адресов. Из полученных 116,500 rsETH 89,567 были внесены в Aave V3 на Ethereum и Arbitrum в качестве обеспечения. Под эти позиции злоумышленник занял около 82,650 WETH и 821 wstETH; health factor по ним стабилизировался в диапазоне 1,01–1,03. На момент публикации все семь адресов оставались активными в Aave. Сервис-провайдеры Aave подтвердили, что собственные смарт-контракты протокола не были скомпрометированы: логика supply, repayment и liquidation работала штатно в течение события. Примерно в 19:00 UTC 18 апреля Protocol Guardian начал заморозку всех резервов rsETH и wrsETH во всех развертываниях Aave V3. Параметр LTV был обнулён, новый supply и заимствования отключены, при этом существующие позиции сохранили возможность погашения и ликвидации. По данным анализа на форуме Aave, затронутыми оказались 11 рынков на Ethereum, Arbitrum, Avalanche, Base, Ink, Linea, Mantle, MegaETH, Plasma и Zksync. Отдельно отмечены изменения риск-параметров WETH. Примерно в 14:30 UTC 19 апреля Risk Steward скорректировал модели процентных ставок WETH на Arbitrum, Base, Mantle и Linea: Slope 2 снижен до 1,50%, а ставка заимствования при 100% утилизации опущена с 8,5–10,5% до 3,0% годовых. Аналогичную настройку применили к Core около 05:00 UTC 20 апреля (Slope 1 — 2%, Slope 2 — 3%, optimal utilization — 94%). Также около 02:00 UTC 20 апреля Protocol Guardian заморозил WETH на Core, Prime, Arbitrum, Base, Mantle и Linea, чтобы пресечь новые заимствования и не допустить переноса стресса на резервы стейблкоинов. Два сценария и оценка ущерба Llamarisk моделирует два сценария, в которых итоговая экспозиция протокола определяется тем, как Kelp распределит потери. Сценарий 1: равномерная социализация 112,204 необеспеченных rsETH по всему предложению rsETH. Это приводит к depeg на 15,12% и оценочному bad debt в $123,7 млн. Наибольшую абсолютную нагрузку принимает Ethereum Core — $91,8 млн. На Mantle ожидается дефицит резерва WETH на 9,54%. Сценарий 2: потери считаются изолированными в L2-rsETH. В этом случае к обеспечению на удалённых сетях применяется haircut 73,54%, а rsETH в основной сети Ethereum остаётся полностью обеспеченным. Оценка bad debt возрастает до $230,1 млн, причём концентрация ущерба максимальна на Mantle (дефицит WETH 71,45%) и Arbitrum (26,67%). По данным отчёта, текущий баланс адаптера составляет 40,373 rsETH — это единственное подтверждённое обеспечение для всего remotechain rsETH по всем L2-маршрутам при совокупных удалённых требованиях 152,577 rsETH. Публичного подтверждения, как будут распределены возвращённые средства, Kelp не давал. Финансовый буфер Aave и рыночные риски На 20 апреля 2026 года Aave DAO treasury держит активы на $181 млн, включая $62 млн в активах, коррелирующих с Ethereum, $54 млн в AAVE и $52 млн в стейблкоинах. Выручка DAO составила $145 млн в 2025 году и $38 млн с начала 2026 года. Llamarisk также сообщает, что уже есть несколько предварительных обязательств со стороны участников экосистемы для покрытия потенциальных сценариев bad debt. Резервы WETH на Ethereum, Arbitrum, Base, Linea и Mantle находятся при 100% утилизации, а свободные остатки на каждой сети — менее $20. При полной утилизации ликвидаторы получают aWETH вместо базового WETH, что замедляет скорость ликвидаций. Самыми уязвимыми рынками названы Base и Arbitrum: первые ликвидации там запускаются при снижении цены WETH на 0,77% и 1,77% соответственно, поскольку позиции держатся на health factor около 1,03. В сценарии 1 Llamarisk рекомендует немедленно поставить на паузу модуль WETH Umbrella staking. На момент публикации 18,922 из 23,507 застейканных aWETH уже вошли в период cooldown на unstaking. Пауза блокирует депозиты, вывод, переводы и slashing, сохраняя распределение наград. Оставшиеся четыре рынка, где листится rsETH — Ethereum Lido, MegaETH, Plasma и Zksync — имеют несущественные объёмы и не несут bad debt. Ещё 12 рынков Aave V3 rsETH не листят и не пострадали.