После недавнего инцидента с мостом rsETH в экосистеме KelpDAO команда Aave выпустила детальный отчет, в котором объяснила последствия атаки, возможный размер убытков и дальнейшие шаги по защите протокола.
Главный вопрос сейчас — насколько серьезно этот взлом ударит по Aave и хватит ли резервов, чтобы компенсировать потери пользователей.
Что произошло?
18 апреля злоумышленник атаковал маршрут Unichain — Ethereum rsETH, работающий через LayerZero V2 в инфраструктуре KelpDAO. По данным Aave, хакеру удалось вывести около 116 500 rsETH, используя поддельное подтверждение транзакции.
После этого часть похищенных средств была направлена в Aave V3 в качестве залога. Под обеспечение примерно 89 567 rsETH злоумышленник занял около:
- 82 650 WETH
- 821 wstETH
Основная активность была зафиксирована в сетях Ethereum и Arbitrum.
Угрожает ли это самому Aave?
По заявлению команды, смарт-контракты Aave не были взломаны.
Проблема возникла во внешней инфраструктуре — в мосте, связанном с активом rsETH.
Это означает, что:
- контракты Aave работали корректно;
- оракулы передавали данные штатно;
- механизмы ликвидации не давали сбоя.
Иными словами, уязвимость находилась вне Aave, однако сам протокол оказался под финансовым давлением из-за использования скомпрометированного актива в качестве залога.
Какие меры уже приняты?
Чтобы ограничить последствия атаки, Aave оперативно ввела защитные меры:
- заморозила резервы rsETH и wrsETH во всех пулах Aave V3;
- снизила loan-to-value по этим активам до нуля;
- остановила новые операции займа и поставки по этим рынкам;
- обновила процентные модели для WETH;
- ввела ограничения на некоторых рынках WETH, чтобы не допустить дальнейшего роста риска.
Эти шаги направлены на локализацию ущерба и предотвращение распространения кризиса ликвидности.
Возможные убытки: два сценария
В Aave рассматривают два основных варианта развития событий.
Сценарий 1: потери распределяются по всему объему rsETH
Если ущерб будет равномерно отражен на всей ликвидности rsETH, объем безнадежной задолженности может составить около 123,7 млн долларов.
В этом случае:
- крупнейший абсолютный удар придется на Ethereum Core;
- наиболее сильное относительное давление почувствует сеть Mantle.
Сценарий 2: убытки касаются только rsETH в сетях L2
Если проблемы будут локализованы в сетях второго уровня, размер возможных потерь вырастет до 230,1 млн долларов.
Наибольшая нагрузка в таком случае ляжет на резервы WETH в сетях:
- Mantle
- Arbitrum
- Base
Этот вариант считается более тяжелым, поскольку создает значительное давление на ликвидность сразу в нескольких экосистемах.
Хватит ли резервов Aave?
На 20 апреля казначейство Aave DAO оценивается примерно в 181 млн долларов, включая:
- 62 млн долларов в активах, связанных с Ethereum;
- 54 млн долларов в токенах AAVE;
- 52 млн долларов в стейблкоинах.
Дополнительно протокол показал сильные финансовые результаты:
- 145 млн долларов дохода за 2025 год
- 38 млн долларов дохода с начала 2026 года
- 16 млн долларов чистой прибыли в 2026 году
Однако даже при таких резервах наихудший сценарий может превысить объем казны, поэтому Aave рассчитывает также на поддержку партнеров экосистемы.
Проблема ликвидности усиливает риски
Дополнительное давление создает тот факт, что резервы WETH в сетях:
- Ethereum
- Arbitrum
- Base
- Linea
- Mantle
сейчас загружены на 100%.
Это значит, что свободной ликвидности для ликвидации залогов практически нет.
Если ситуация ухудшится, это может усилить нагрузку на весь протокол.
Пока Aave продолжает работать стабильно, но дальнейшее развитие событий будет зависеть от того, как распределят потери по rsETH.
Что такое механизм Umbrella и почему его не спешат использовать?
Одним из ключевых инструментов защиты в Aave является механизм Umbrella — своеобразный страховой буфер для покрытия безнадежных долгов.
Он формируется за счет застейканных активов, которые могут быть частично списаны в случае критических потерь.
Сейчас в Umbrella размещено около 23 500 WETH, однако значительная часть этих средств уже находится в ожидании вывода.
Это создает риск паники среди участников: если модуль активировать слишком рано, можно спровоцировать массовый вывод ликвидности.
Именно поэтому Aave предлагает временно не задействовать Umbrella, сохранив его как резервный механизм на крайний случай.
Итог: под угрозой ли Aave?
На данный момент Aave не находится под технической угрозой, поскольку ее инфраструктура не была взломана.
Но протокол столкнулся с серьезным финансовым стрессом, вызванным внешней уязвимостью KelpDAO.
Главные риски сейчас:
- потенциальные безнадежные долги до 230 млн долларов;
- дефицит ликвидности в резервах WETH;
- вероятность использования страхового механизма Umbrella.
Если убытки окажутся ближе к худшему сценарию, Aave придется задействовать резервы казначейства и искать поддержку партнеров.
Это не экзистенциальный кризис для Aave, но один из самых серьезных стресс-тестов для протокола за последнее время.
