Aave proponuje dwie ścieżki rozwiązania problemu złego długu w wysokości 230 mln USD po hacku Kelp DAO
Alvin Lang 21 kwi 2026 04:27
LlamaRisk przedstawia scenariusze alokacji strat z exploitu Kelp DAO na 293 mln USD, przy czym Aave może zmierzyć się ze złym długiem do 230 mln USD w zależności od decyzji Kelp.
Dział zarządzania ryzykiem Aave przedstawił dwa scenariusze radzenia sobie ze skutkami sobotniej exploitacji Kelp DAO na 293 miliony dolarów — a różnica między nimi jest ogromna. Jedna ścieżka pozostawia Aave ze złym długiem 123,7 miliona dolarów. Druga? Dziurę na 230,1 miliona dolarów.
LlamaRisk opublikował swoją analizę w poniedziałek, trzy dni po tym, jak hakerzy wykradli 116 500 tokenów rsETH z mostu Kelp DAO opartego na LayerZero i natychmiast wykorzystali je jako zabezpieczenie w Aave V3, aby pożyczyć opakowany Ether. Posunięcie to stworzyło kaskadowy problem: skradzione tokeny zabezpieczające prawdziwe pożyczki, których pożyczkobiorcy nie mają zamiaru spłacać.
Liczby, które mają znaczenie
Scenariusz pierwszy rozkłada straty na wszystkich posiadaczy rsETH w głównej sieci Ethereum i na warstwach 2. Zły dług: 123,7 miliona dolarów. Kompromis? Około 15% odpięcie rsETH w stosunku do ETH. LlamaRisk zauważa, że rezerwy wETH „pochłonęłyby większość w wartościach bezwzględnych, ale ledwo by to zauważyły w stosunku do głębokości rezerw".
Scenariusz drugi koncentruje całą stratę na sieciach warstwy 2, takich jak Arbitrum i Mantle. Zły dług wzrasta do 230,1 miliona dolarów — niemal podwójnie.
Ostateczna decyzja należy do Kelp DAO, a nie Aave. To marne pocieszenie dla deponentów Aave obserwujących wykrwawianie kapitału przez protokół. Od czasu exploitu, prawie 10 miliardów dolarów całkowitej wartości opuściło Aave.
Czym dysponuje Aave
Protokół nie jest bezbronny. LlamaRisk wskazał, że 18 922 tokeny aWETH o wartości około 43,7 miliona dolarów już weszły w fazę okresu oczekiwania na unstaking w ramach modelu bezpieczeństwa Umbrella Aave — środki, które mogłyby pokryć częściowe straty w pierwszym scenariuszu.
Skarbiec Aave posiada około 181 milionów dolarów, teoretycznie wystarczająco, aby zaradzić niedoborowi w jednym lub drugim scenariuszu. Czy zarządzanie zatwierdziłoby takie wykorzystanie środków, to już całkiem inna kwestia.
Jak doszło do exploitu
Kelp DAO dostarczył dodatkowych szczegółów w poniedziałek. Atakujący zhakowali dwa węzły walidacyjne powiązane z infrastrukturą mostu LayerZero, jednocześnie atakując trzeci atakiem DDoS. Pozwoliło im to sfałszować wiadomość transferową, którą system zatwierdził jako legalną, mintując 116 500 rsETH na moście.
Główna przyczyna, według wcześniejszych raportów cytujących LayerZero: konfiguracja Decentralized Verifier Network typu 1-z-1. Wystarczył jeden zhakowany węzeł.
Zespół Kelp zareagował szybko po wykryciu, wstrzymując kontrakty w Ethereum i warstwach 2 oraz umieszczając portfele eksploitujących na czarnej liście. Ta interwencja podobno zapobiegła kradzieży kolejnych 40 000 rsETH (95 milionów dolarów).
Co dalej
Kelp DAO informuje, że wciąż ocenia wpływ finansowy i współpracuje z Aave, LayerZero i innymi interesariuszami nad ścieżką odzyskiwania. Nie ogłoszono harmonogramu wznowienia protokołu.
Dla traderów, natychmiastową kwestią jest wycena rsETH. 15% odpięcie w scenariuszu pierwszym stworzyłoby możliwości arbitrażowe — ale także uwięziłoby każdego, kto trzyma rsETH jako zabezpieczenie gdzie indziej w DeFi. Ryzyko zarażenia, które uczyniło ten exploit tak szkodliwym, nie minęło; po prostu czeka na decyzję zarządzania.
Źródło obrazu: Shutterstock- aave
- kelp dao
- defi
- rseth
- layerzero
