Риск-менеджер Aave обсудил два возможных сценария проблемной задолженности после взлома Kelp DAO, в ходе которого с моста на базе LayerZero было похищено 116 500 токенов Kelp DAO Restaked ETH (rsETH) на сумму 293 миллиона долларов.

Злоумышленник конвертировал украденные rsETH в залоговое обеспечение на Aave V3 для заимствования wrapped Ether (wETH), что создало давление на ликвидность и привело к оттоку почти 10 миллиардов долларов из протокола после инцидента. Согласно LlamaRisk, анализ показывает, как один скомпрометированный мост может вызвать цепную реакцию проблем в различных кредитных протоколах DeFi.

Сценарий первый: убытки распределяются, возникает риск депэга

Первый сценарий предполагает распределение убытков среди всех держателей rsETH в сети Ethereum mainnet и сетях второго уровня, что приводит к образованию проблемной задолженности в размере около 123,7 миллиона долларов на Aave. Это происходит из-за 15% отрыва курса rsETH от Ether. В абсолютном выражении больше всего пострадают резервы Wrapped Ether, но они должны оставаться стабильными благодаря своей глубине.

Aave, со своей стороны, может использовать свою модель безопасности Umbrella для компенсации нехватки wETH за счет 18 922 aWETH, что эквивалентно 43,7 миллионам долларов, которые уже находятся в периоде охлаждения перед выводом из стейкинга.

Сценарий второй: концентрация на втором уровне

Второй сценарий предполагает концентрацию всего дефицита в сетях второго уровня Ethereum, таких как Arbitrum и Mantle; в этом случае проблемная задолженность возрастает до 230,1 миллиона долларов. Хотя это более затратный вариант, он лучше защищает основную сеть Ethereum и локализует воздействие. Казначейство Aave, в котором находится около 181 миллиона долларов, может в определенной степени покрыть экспозицию, но это будет сильно зависеть от решений управления.

Обновление по инциденту с rsETH: @LlamaRisk опубликовал отчет, в котором изложены детали инцидента с rsETH, немедленные принятые меры, его влияние на Aave и потенциальные пути forward. Все поставщики услуг работали над оценкой двух потенциальных сценариев проблемной задолженности в протоколе Aave.…

Механика эксплуатации уязвимости и текущие ответные меры

Kelp DAO сообщила, что были скомпрометированы два узла моста LayerZero, а третий узел подвергся DDoS-атаке. Злоумышленник подделал подпись в сообщении о переводе, что привело к эмиссии 116 500 rsETH. После приостановки всех контрактов и внесения кошельков эксплойтера в черный список команде удалось предотвратить кражу 40 000 rsETH, что составляет примерно 95 миллионов долларов. Kelp DAO продолжает оценивать масштабы финансовых потерь и совместно с Aave и LayerZero планирует шаги по устранению последствий.

Перевод: Sh4rd