Aave Détails : Calendrier de récupération de l'exploitation du pont rsETH

• Un message de pont falsifié a libéré 116 500 rsETH, que les attaquants ont utilisés comme garantie pour emprunter WETH et wstETH sur Aave.
• Aave a gelé les marchés concernés, réduit les paramètres de risque et coordonné avec ses partenaires pour limiter l'exposition et récupérer les fonds.
• Les engagements de récupération ont atteint environ 300 M$, aidant à rétablir le soutien complet de 116 131,72 rsETH d'ici le 26 mai 2026.

Aave a publié un post-mortem détaillé sur l'exploitation du pont rsETH du 18 avril 2026 qui a affecté plusieurs marchés Aave V3. Selon Aave, l'incident a commencé à 17:35 UTC lorsque le pont LayerZero V2 de Kelp rsETH a accepté un message cross-chain falsifié, libérant 116 500 rsETH sur Ethereum sans brûlage correspondant sur Unichain. L'attaquant a ensuite introduit les actifs dans des positions Aave et emprunté du WETH et du wstETH contre cette garantie.

Selon Aave, l'exploitation provient de l'infrastructure de pont tiers et non du protocole de prêt lui-même. Le pont reposait sur une configuration de réseau décentralisé de vérificateurs uniques, où un seul vérificateur approuvait les messages entrants.

Aave a déclaré qu'une attaque de poison RPC avait manipulé la vision du vérificateur concernant l'activité de la chaîne source. En conséquence, l'adaptateur Ethereum a libéré 116 500 rsETH qui n'étaient pas garantis sur la chaîne d'origine.

L'attaquant a ensuite réparti les actifs sur plusieurs adresses. Par la suite, 89 567 rsETH ont entré huit positions Aave V3 sur Ethereum Core et Arbitrum.

Ces positions ont permis d'emprunter 82 650 WETH et 821 wstETH. Les facteurs de santé sont restés, selon les rapports, entre 1,01 et 1,03 pendant l'activité.

Au fur et à mesure que l'exposition devenait claire, le Protecteur de protocole et le Gardien des risques d'Aave ont activé des mesures d'urgence. Le protocole a gelé les réserves de rsETH et wrsETH, réduit les ratios prêt/valeur à zéro, puis a gelé ultérieurement WETH sur plusieurs déploiements.

Par ailleurs, Kelp a mis en pause les rsETH affectés liés à l'exploitation. De plus, le Conseil de sécurité d'Arbitrum a gelé plus de 30 765 ETH liés à l'attaquant le 21 avril.

Alors que la containment se poursuivait, LlamaRisk a publié un rapport d'incident. Aave a également mis en pause les réserves rsETH sur Ethereum Core, Arbitrum, Base, Mantle et Linea.

Parallèlement aux efforts de containment, Aave Labs a coordonné DeFi United, une initiative de récupération impliquant Lido, EtherFi Foundation, Ethena, Mantle, Compound, Consensys, Joseph Lubin, LayerZero, KelpDAO et d'autres.

Selon Aave, les engagements de remboursement ont dépassé 160 millions de dollars au 25 avril, puis ont atteint environ 300 millions de dollars.

La reprise technique a inclus la liquidation des positions liées à l'attaquant, la destruction du rsETH récupéré et le réapprovisionnement de l'adaptateur LayerZero via cinq tranches distinctes. Au 26 mai, 116 131,72 rsETH avaient été rédéposés, rétablissant le soutien complet.

Aave a indiqué que les marchés WETH et rsETH fonctionnent désormais normalement. Toutefois, les examens portant sur les listages d'actifs, les dépendances de pont, les cadres de risque et les normes de sécurité sont toujours en cours.