Після втіки безпеки на місті rsETH KelpDAO, Aave опублікував всебічне оновлення статусу. Протокол детально описує технічний контекст інциденту, його вплив на Aave та можливі сценарії збитків у новому звіті.
Згідно з заявою, постачальники послуг, підключені до Aave DAO, зараз оцінюють потенційні сценарії «поганого боргу», які можуть виникнути в протоколі, і працюють у координації з учасниками екосистеми, щоб закрити цей розрив.
Згідно з звітом, атака відбулася 18 квітня 2026 року на маршруті Kelp’s LayerZero V2-based Unichain-Ethereum rsETH. Зловмисник, як стверджується, вивів 116 500 rsETH з Ethereum-адаптера за допомогою підробленого пакета верифікації, а потім розподілив ці активи на кілька адрес, забезпечивши частину на Aave V3 та позичивши WETH і wstETH. За даними Aave, зловмисник використав загалом 89 567 rsETH як забезпечення на Aave, позичивши приблизно 82 650 WETH і 821 wstETH. Значна частина цих позицій була відкрита на мережах Ethereum та Arbitrum.
Aave конкретно зазначила, що інцидент не виник через її власні смартконтракти. За даними протоколу, вразливість безпеки повністю походила ззовнішньої інфраструктури, до якої був прив’язаний актив rsETH, а смартконтракти, система оракулів та механізми ліквідації Aave працювали за проектом протягом усього процесу. Після виявлення інциденту резерви rsETH і wrsETH були заморожені у всіх розгортаннях Aave V3, співвідношення кредит/вартість у відповідних ринках було зменшено до нуля, а нові операції з випуску чи позик призупинено. Крім того, було оновлено модель відсоткової ставки WETH на різних ланцюгах, а також введено додаткові заходи з заморожування на ринках WETH для запобігання поширенню нових позик.
Aave представила два сценарії компенсації завданих збитків
Звіт розглядав два основні сценарії потенційних збитків. У першому сценарії, якщо збитки розподілялися рівномірно по всьому обсягу rsETH, загальний непогашений борг на Aave може досягти приблизно $123,7 мільйона. У цьому випадку найбільший абсолютний збиток спостерігатиметься на Ethereum Core, а найбільший пропорційний вплив — на ланцюзі Mantle. Другий сценарій передбачає, що збитки враховуються лише на rsETH-активах на L2. У цьому випадку оцінка загального непогашеного боргу зростає до $230,1 мільйона. За даними звіту, у цьому сценарії найбільший тиск буде на WETH-резерви на Mantle, Arbitrum і Base.
За даними, опублікованими Aave, скарбниця DAO на 20 квітня 2026 року мала загальну суму активів у розмірі $181 мільйона. З цих активів $62 мільйони становили продукти, пов’язані з ethereum, $54 мільйони — токени AAVE та $52 мільйони — стейблкоїни. Крім того, протокол повідомив про отримання $145 мільйонів доходу протягом 2025 року та $38 мільйонів доходу та $16 мільйонів чистого прибутку з початку 2026 року. Aave зазначила, що покладається не лише на ресурси скарбниці, але й на зобов’язання підтримки від представників екосистеми.
Пов’язані новини: Звинувачення у великомасштабному маніпулюванні альткоїном — Crypto Detective ZachXBT висловлюється
Ще одна помітна точка в звіті — це дефіцит ліквідності на ринках WETH. Було зазначено, що резерви WETH на Ethereum, Arbitrum, Base, Linea та Mantle зараз досягли 100% використання. Це ускладнює ліквідаторам отримання вільного WETH під час процесів ліквідації, що збільшує навантаження на систему. Aave зазначила, що, хоча система загалом продовжує функціонувати, кінцевий результат визначатимуть зовнішні рішення, зокрема щодо того, як будуть розподілені збитки rsETH.
Що очікувати від механізму Umbrella?
У звіті, опублікованому Aave, «Парасолька» (також відома як модуль безпеки/страхування) виділяється як одна з ключових тем у контексті кризи rsETH. Цей механізм функціонує як шар безпеки, спрямований на захист певних резервів шляхом активації у випадках «поганого боргу», які можуть виникнути в протоколі.
За деталями, наданими Aave, модуль Umbrella діє як буфер, зокрема для резервів WETH на ethereum-мейннеті (Core). Зазвичай цей модуль працює через пул, створений шляхом стейкінгу певних активів, і коли протокол зазнає втрат, активи в цьому пулі можуть використовуватися для покриття частини дефіциту за допомогою «слешингу» (віднімання).
Однак у контексті поточної кризи rsETH Aave запропонувала варіант тимчасової призупинки модуля Umbrella. Основна причина полягає у запобіганні ранньому та неконтрольованому активуванню модуля у потенційному найгіршому сценарії (особливо якщо збитки поширються по всій системі), щоб уникнути швидкого вичерпання застаканих активів.
Згідно з звітом, значна частина приблизно 23 500 WETH, які зараз зарезервовані під Umbrella, перебувають у фазі «очікування виведення». Це свідчить про те, що інвестори готуються вивести свої кошти, що створює потенційний ризик банківського паніки.
З іншого боку, зазначається, що у другому сценарії (де збитки обмежені лише rsETH на мережах L2) модуль Umbrella може не потребувати активації. Це пов’язано з тим, що цей модуль охоплює лише резерви на ethereum мейннеті, а збитки від мереж L2 виходять за межі цього механізму безпеки.
На завершення, хоча Umbrella вважається важливим «останнім бар’єром», на який може спиратися Aave у кризові часи, у поточній ситуації тримати її у резерві у контролюваному режимі вважається безпечнішою стратегією, ніж безпосереднє використання.
*Це не є інвестиційною порадою.
Продовжити читання: Aave публікує детальний звіт про хакерську атаку на KelpDAO: Як будуть покриті втрати? Чи піддається ризику Aave?