- Un mensaje de puente falsificado liberó 116.500 rsETH, que los atacantes utilizaron como garantía para tomar prestado WETH y wstETH en Aave.
- Aave congeló los mercados afectados, redujo los parámetros de riesgo y se coordinó con socios para contener la exposición y recuperar los fondos.
- Los compromisos de recuperación alcanzaron aproximadamente $300 millones, ayudando a restaurar el respaldo completo de 116,131.72 rsETH para el 26 de mayo de 2026.
Aave ha publicado un post-mortem detallado sobre la explotación del puente rsETH del 18 de abril de 2026 que afectó varios mercados de Aave V3. Según Aave, el incidente comenzó a las 17:35 UTC cuando el puente LayerZero V2 de Kelp rsETH aceptó un mensaje cruzado falsificado, liberando 116.500 rsETH en Ethereum sin una quema correspondiente en Unichain. El atacante posteriormente ingresó los activos en posiciones de Aave y tomó prestados WETH y wstETH contra la garantía.
Explotación de puente activó exposición a Aave
Según Aave, la explotación se originó en la infraestructura de puente de terceros, no en el protocolo de préstamo en sí. El puente dependía de una configuración de Red Descentralizada de Verificadores uno-a-uno, donde un solo verificador aprobaba los mensajes entrantes.
Aave indicó que un ataque de envenenamiento de RPC manipuló la visión del verificador sobre la actividad de la cadena de origen. Como resultado, el adaptador de Ethereum liberó 116.500 rsETH que carecían de respaldo en la cadena de origen.
El atacante luego distribuyó los activos en múltiples direcciones. Subsecuentemente, 89,567 rsETH ingresaron a ocho posiciones en Aave V3 en Ethereum Core y Arbitrum.
Esas posiciones permitieron el préstamo de 82.650 WETH y 821 wstETH. Los factores de salud se mantuvieron supuestamente entre 1.01 y 1.03 durante la actividad.
Se implementaron medidas de emergencia
A medida que se hizo evidente la exposición, el Guardian del Protocolo y el Encargado de Riesgo de Aave activaron protecciones de emergencia. El protocolo congeló las reservas de rsETH y wrsETH, redujo los ratios de préstamo a valor a cero y posteriormente congeló WETH en varias implementaciones.
Mientras tanto, Kelp pausó los rsETH afectados relacionados con la explotación. Además, el Consejo de Seguridad de Arbitrum congeló más de 30,765 ETH conectados al atacante el 21 de abril.
Mientras continuaba la contención, LlamaRisk publicó un informe de incidente. Aave también pausó las reservas de rsETH en Ethereum Core, Arbitrum, Base, Mantle y Linea.
Recuperación: Restaurada la cobertura completa de rsETH
Junto con los esfuerzos de contención, Aave Labs coordinó DeFi United, una iniciativa de recuperación que involucra a Lido, EtherFi Foundation, Ethena, Mantle, Compound, Consensys, Joseph Lubin, LayerZero, KelpDAO y otros.
Según Aave, los compromisos de recuperación superaron los 160 millones de dólares al 25 de abril y posteriormente alcanzaron aproximadamente 300 millones de dólares.
La recuperación técnica incluyó la liquidación de posiciones vinculadas al atacante, la quema de rsETH recuperado y la recarga del adaptador LayerZero a través de cinco tramos separados. Para el 26 de mayo, se habían vuelto a depositar 116.131,72 rsETH, restaurando el respaldo completo.
Aave indicó que los mercados de WETH y rsETH ahora operan normalmente. Sin embargo, las revisiones sobre listados de activos, dependencias de puentes, marcos de riesgo y estándares de seguridad continúan en curso.