Informe de incidente: Los proveedores de servicios de Llamarisk y Aave detallan el hack de Kelp rsETH en los mercados de Ethereum y Arbitrum
Un informe de incidente publicado por Llamarisk en el foro de Aave explica que un exploit de puente dirigido a la ruta rsETH Layerzero V2 de KelpDAO el sábado permitió a un atacante extraer 116,500 rsETH del adaptador OFT de Ethereum sin quemar ningún token en la cadena de origen. El informe de Llamarisk señala que este incidente expuso a los mercados de Aave V3 a posibles deudas incobrables que oscilaban entre 123,7 millones de dólares y 230,1 millones de dólares, dependiendo de cómo se asignen las pérdidas.
Conclusiones clave:
Según Llamarisk, un atacante aprovechó el puente Layerzero V2 de Kelp el 18 de abril de 2026, acuñando 116.500 rsETH sin ninguna quema correspondiente.
Llamarisk estima las deudas incobrables entre 123,7 millones de dólares y 230,1 millones de dólares en 7 mercados afectados, dependiendo de cómo socialice Kelp las pérdidas.
La tesorería de Aave DAO tiene 181 millones de dólares al 20 de abril de 2026, y los proveedores de servicios ya están asegurando compromisos de recuperación indicativos de los participantes del ecosistema.
Llamarisk detalla los escenarios de explotación de rsETH después de que se agotara el adaptador Kelp OFT
El análisis publicado por los coautores de la empresa de gestión de riesgos Llamarisk y el proveedor de servicios Aave explicó que el ataque ocurrió a las 17:35 UTC en el bloque 24.908.285 de Ethereum. La ruta Unichain-to-Ethereum se configuró como una ruta DVN 1 de 1, lo que significa que un solo verificador podría certificar un paquete entrante sin ninguna acción saliente correspondiente, según el informe.
Los autores de Llamarisk dijeron que el atacante falsificó un paquete que fue verificado, comprometido y entregado en Ethereum, liberando 116,500 rsETH del adaptador, señala el informe de Aave. El saldo del adaptador cayó de 116,723 rsETH a 223 rsETH en un solo bloque. El atacante avivó el rsETH robado de una billetera de entrada en siete direcciones de sucursales. De los 116.500 rsETH recibidos, 89.567 se depositaron en los mercados Aave V3 en Ethereum y Arbitrum como garantía.
Esas posiciones se utilizaron para tomar prestados aproximadamente 82.650 WETH y 821 wstETH, con factores de salud estableciéndose entre 1,01 y 1,03. Las siete direcciones de los atacantes permanecen activas en Aave en el momento de la publicación.
Los proveedores de servicios de Aave fueron coautores del informe completo del incidente de Llamarisk y confirmaron que los propios contratos inteligentes de Aave no se vieron comprometidos. Toda la lógica del protocolo, incluidos los mecanismos de suministro, reembolso y liquidación, continuó funcionando según lo diseñado durante todo el evento.
The Protocol Guardian comenzó a congelar todas las reservas de rsETH y wrsETH en todas las implementaciones de Aave V3 aproximadamente a las 19:00 UTC del 18 de abril. La acción puso el LTV en cero y deshabilitó nuevos suministros y préstamos, al tiempo que dejó las posiciones existentes elegibles para reembolso y liquidación. Según el análisis del foro de Aave, once mercados de Ethereum, Arbitrum, Avalanche, Base, Ink, Linea, Mantle, MegaETH, Plasma y Zksync se vieron afectados.
El informe dice que Risk Steward ajustó los modelos de tasas de interés WETH en Arbitrum, Base, Mantle y Linea aproximadamente a las 14:30 UTC del 19 de abril, reduciendo la pendiente 2 al 1,50 por ciento y recortando la tasa de préstamo con una utilización del 100 por ciento de entre 8,5 y 10,5 por ciento a 3,0 por ciento APR. Se aplicó un ajuste correspondiente al Núcleo aproximadamente a las 05:00 UTC del 20 de abril, con la Pendiente 1 establecida en 2 por ciento, la Pendiente 2 en 3 por ciento y la utilización óptima establecida en 94 por ciento.
The Protocol Guardian también congeló WETH en Core, Prime, Arbitrum, Base, Mantle y Linea aproximadamente a las 02:00 UTC del 20 de abril para evitar nuevos préstamos y contener la posible propagación del estrés a las reservas de monedas estables.
Los 2 escenarios
Los dos escenarios modelados por el análisis de Llamarisk reflejan cómo la decisión de asignación de pérdidas de Kelp determinará la exposición final del protocolo. El escenario 1 supone una socialización uniforme de los 112.204 rsETH sin respaldo en todo el suministro de rsETH, lo que producirá una desparticipación del 15,12 por ciento y un estimado de 123,7 millones de dólares en deudas incobrables, con Ethereum Core absorbiendo 91,8 millones de dólares en términos absolutos y Mantle enfrentando un déficit de reservas WETH del 9,54 por ciento.
El escenario 2 trata la pérdida como aislada solo de L2 rsETH, aplicando un recorte del 73,54 por ciento a la garantía en cadenas remotas mientras deja la red principal de Ethereum rsETH completamente intacta, produciendo un estimado de $230,1 millones en deudas incobrables concentradas en Mantle con un déficit de WETH del 71,45 por ciento y Arbitrum con un 26,67 por ciento.
El saldo actual del adaptador es de 40,373 rsETH, el único respaldo confirmado para todos los rsETH de cadena remota en cada ruta L2, frente a un total de reclamaciones remotas de 152,577 rsETH. Kelp no ha confirmado públicamente cómo se asignarán los fondos recuperados.
Al 20 de abril de 2026, el informe decía que la tesorería de Aave DAO posee $181 millones en activos, incluidos $62 millones en tenencias correlacionadas con Ethereum, $54 millones en AAVE y $52 millones en monedas estables. La DAO generó 145 millones de dólares en ingresos durante 2025 y 38 millones de dólares en lo que va del año 2026. Llamarisk confirmó que ya existen varios compromisos indicativos de los participantes del ecosistema para abordar posibles escenarios de insolvencia.
Las reservas de WETH en Ethereum, Arbitrum, Base, Linea y Mantle están al 100 por ciento de utilización, con saldos inactivos por debajo de $20 en cada cadena. A