Aave пропонує два шляхи для вирішення проблеми безнадійної заборгованості в $230 млн через злом Kelp DAO
Alvin Lang 21 квітня 2026 04:27
LlamaRisk окреслює сценарії розподілу збитків від експлойту Kelp DAO на $293 млн, при цьому Aave стикається з безнадійною заборгованістю до $230 млн залежно від рішення Kelp.
Підрозділ управління ризиками Aave виклав два сценарії для поглинання наслідків експлойту Kelp DAO на $293 млн у суботу — і різниця між ними разюча. Один шлях залишає Aave з безнадійною заборгованістю в $123,7 млн. Інший? Дірою в $230,1 млн.
LlamaRisk опублікував свій аналіз у понеділок, через три дні після того, як хакери вкрали 116 500 токенів rsETH з мосту Kelp DAO на базі LayerZero і негайно використали їх як заставу на Aave V3 для позики wrapped Ether. Цей крок створив каскадну проблему: вкрадені токени забезпечують реальні позики, які позичальники не мають наміру повертати.
Цифри, які мають значення
Перший сценарій розподіляє збитки між усіма власниками rsETH на основній мережі Ethereum та layer 2. Безнадійна заборгованість: $123,7 млн. Компроміс? Приблизно 15% відв'язка rsETH відносно ETH. LlamaRisk зазначає, що резерви wETH «поглинуть основну частину в абсолютних цифрах, але ледве помітять це відносно глибини резерву».
Другий сценарій концентрує весь дефіцит на мережах layer 2, таких як Arbitrum та Mantle. Безнадійна заборгованість зростає до $230,1 млн — майже вдвічі.
Остаточне рішення залежить від Kelp DAO, а не від Aave. Це слабка втіха для вкладників Aave, які спостерігають, як протокол втрачає капітал. З моменту експлойту з Aave вийшло майже $10 млрд загальної вартості.
Що є у Aave для роботи
Протокол не беззахисний. LlamaRisk відзначив, що 18 922 токени aWETH вартістю приблизно $43,7 млн вже увійшли в фазу охолодження анстейкінгу відповідно до моделі безпеки Umbrella від Aave — кошти, які могли б покрити часткові збитки за першим сценарієм.
Казначейство Aave утримує близько $181 млн, теоретично достатньо для покриття дефіциту за будь-яким сценарієм. Чи схвалить управління таке розгортання — це зовсім інше питання.
Як відбувся експлойт
Kelp DAO надав додаткові деталі в понеділок. Зловмисники скомпрометували два валідаторні вузли, пов'язані з інфраструктурою мосту LayerZero, одночасно здійснивши DDoS-атаку на третій. Це дозволило їм підробити повідомлення про переказ, яке система схвалила як легітимне, чеканячи 116 500 rsETH на мосту.
Основна причина, згідно з попередніми звітами з посиланням на LayerZero: конфігурація децентралізованої мережі верифікації 1-з-1. Достатньо було одного скомпрометованого вузла.
Команда Kelp швидко відреагувала після виявлення, призупинивши контракти на Ethereum та layer 2 і внісши гаманці експлойтерів до чорного списку. Це втручання, за повідомленнями, запобігло крадіжці ще 40 000 rsETH ($95 млн).
Що станеться далі
Kelp DAO стверджує, що все ще оцінює фінансовий вплив і працює з Aave, LayerZero та іншими зацікавленими сторонами над шляхом відновлення. Часові рамки для відновлення роботи протоколу не оголошені.
Для трейдерів негайною проблемою є ціноутворення rsETH. Відв'язка на 15% за першим сценарієм створила б арбітражні можливості — але також заблокувала б будь-кого, хто тримає rsETH як заставу в іншому місці в DeFi. Ризик зараження, який зробив цей експлойт таким руйнівним, не закінчився; він просто чекає на рішення управління.
Джерело зображення: Shutterstock- aave
- kelp dao
- defi
- rseth
- layerzero
