В результате взлома KelpDAO rsETH в резерве Wrapped Ether (WETH) протокола Aave V3 образовалась невозвратная задолженность. Причиной стало использование злоумышленниками уязвимости с ликвидным стейкинг-токеном rsETH от KelpDAO, который был заложен в протоколе для получения займа.
Что произошло?
Атакующий пополнил кошельки через Tornado Cash и вывел около 116 500 rsETH, что превышает сумму в $280 млн. Затем злоумышленник разместил украденные rsETH в протоколе Aave V3 в качестве залога и получил крупную сумму WETH.
Реакция разработчиков и аудиторов
Разработчик и аудитор Solidity 0xQuit обратил внимание на ситуацию в X. Он предупредил вкладчиков, что пул WETH оказался неработоспособным, а средства можно будет вывести только частично и только после того, как страховка Umbrella закроет дефицит.
«Жаль, что не могу сообщить хорошие новости: похоже, с WETH на Aave все плохо. Если еще можно — выводите средства, но скорее всего уже поздно», — предупредил 0xQuit.
Роль системы Umbrella
Система Umbrella, пришедшая в Aave на смену старому Safety Module в конце 2025 года, была разработана для подобных случаев. Участники, разместившие aWETH в хранилище Umbrella, автоматически теряют часть средств — так система покрывает недостающие активы.
Когда процесс списания завершится, другие поставщики WETH смогут частично вывести оставшиеся средства. Однако полностью вернуть все активы не удастся — вкладчикам придется смириться с потерями.
Последствия для рынка
Этот инцидент стал первым крупным испытанием для автоматической системы ликвидации плохих долгов Umbrella. Также событие вновь поставило вопросы о безопасности залогов в виде ликвидных стейкинг-токенов на кредитных платформах.
Комментарии
0