Laporan insiden yang dipublikasikan oleh Llamarisk di forum Aave menjelaskan bahwa exploit jembatan yang menargetkan rute KelpDAO Layerzero V2 untuk rsETH pada Sabtu lalu memungkinkan penyerang mengekstrak 116.500 rsETH dari adapter OFT Ethereum tanpa membakar token apa pun di rantai sumber. Llamarisk mencatat bahwa insiden ini membuat pasar Aave V3 terekspos potensi bad debt senilai $123,7 juta hingga $230,1 juta, tergantung bagaimana kerugian dialokasikan.
Poin Utama:
- Menurut Llamarisk, seorang penyerang mengeksploitasi jembatan Layerzero V2 milik Kelp pada 18 April 2026, dengan membuat 116.500 rsETH tanpa burn apa pun yang sesuai.
- Llamarisk memperkirakan bad debt senilai $123,7 juta hingga $230,1 juta pada 7 pasar yang terdampak, tergantung bagaimana Kelp mensosialisasikan kerugian.
- Treasury Aave DAO menyimpan $181M per 20 April 2026, dan penyedia layanan sudah mengamankan komitmen pemulihan yang bersifat indikatif dari peserta ekosistem.
Rincian Llamarisk: Skenario Eksploit rsETH Setelah Adapter Kelp OFT Dikosongkan
Analisis yang dipublikasikan oleh perusahaan manajemen risiko Llamarisk dan ko-penulis penyedia layanan Aave menjelaskan bahwa serangan terjadi pada 17:35 UTC di blok Ethereum 24.908.285. Rute Unichain-ke-Ethereum dikonfigurasi sebagai jalur DVN 1-of-1, artinya satu verifier bisa mengattest paket inbound tanpa aksi outbound yang sesuai, menurut laporan tersebut.
Penulis Llamarisk mengatakan penyerang memalsukan sebuah paket yang kemudian diverifikasi, dikomit, dan dideliver di Ethereum, sehingga melepas 116.500 rsETH dari adapter, catatan laporan Aave. Saldo adapter turun dari 116.723 rsETH menjadi 223 rsETH dalam satu blok. Penyerang menyebarkan rsETH hasil curian dari satu dompet intake ke tujuh alamat cabang. Dari 116.500 rsETH yang diterima, 89.567 disetor ke pasar Aave V3 di Ethereum dan Arbitrum sebagai jaminan.
Posisi tersebut digunakan untuk meminjam sekitar 82.650 WETH dan 821 wstETH, dengan health factor menetap di antara 1,01 dan 1,03. Semua tujuh alamat penyerang tetap aktif di Aave pada saat publikasi.
Penyedia layanan Aave turut menulis laporan insiden lengkap Llamarisk dan mengonfirmasi bahwa smart contract milik Aave sendiri tidak dikompromikan. Semua logika protokol, termasuk mekanisme supply, repayment, dan liquidation, terus berfungsi sebagaimana dirancang selama peristiwa tersebut.
Protocol Guardian mulai membekukan seluruh cadangan rsETH dan wrsETH di semua deployment Aave V3 pada sekitar 19:00 UTC pada 18 April. Aksi itu mengatur LTV menjadi nol dan menonaktifkan supply serta peminjaman baru, sambil tetap membuat posisi yang ada memenuhi syarat untuk repayment dan liquidation. Sebelas pasar di Ethereum, Arbitrum, Avalanche, Base, Ink, Linea, Mantle, MegaETH, Plasma, dan Zksync terdampak, menurut analisis forum Aave.
Laporan tersebut mengatakan Risk Steward menyesuaikan model suku bunga WETH di Arbitrum, Base, Mantle, dan Linea pada sekitar 14:30 UTC pada 19 April, menurunkan Slope 2 menjadi 1,50 persen dan memangkas borrow rate pada 100 persen utilization dari 8,5–10,5 persen menjadi 3,0 persen APR. Penyesuaian yang sesuai diterapkan ke Core pada sekitar 05:00 UTC pada 20 April, dengan Slope 1 ditetapkan 2 persen, Slope 2 3 persen, dan optimal utilization 94 persen.
Protocol Guardian juga membekukan WETH di Core, Prime, Arbitrum, Base, Mantle, dan Linea pada sekitar 02:00 UTC pada 20 April untuk mencegah peminjaman baru dan menahan potensi tekanan agar tidak menyebar ke cadangan stablecoin.
2 Skenario
Dua skenario yang dimodelkan oleh analisis Llamarisk mencerminkan bagaimana keputusan alokasi kerugian Kelp akan menentukan eksposur akhir protokol. Skenario 1 mengasumsikan sosialisasi seragam 112.204 rsETH yang tidak didukung di seluruh total supply rsETH, menghasilkan depeg 15,12 persen dan perkiraan bad debt sebesar $123,7 juta, dengan Ethereum Core menanggung $91,8 juta secara absolut dan Mantle menghadapi kekurangan cadangan WETH sebesar 9,54 persen.
Skenario 2 memperlakukan kerugian sebagai terisolasi pada L2 rsETH saja, dengan menerapkan haircut 73,54 persen pada jaminan di chain remote sementara rsETH mainnet Ethereum tetap sepenuhnya utuh, menghasilkan perkiraan bad debt sebesar $230,1 juta yang terkonsentrasi pada Mantle dengan kekurangan WETH sebesar 71,45 persen dan Arbitrum sebesar 26,67 persen.
Saldo adapter saat ini sebesar 40.373 rsETH, satu-satunya backing yang terkonfirmasi untuk semua rsETH pada chain remote di setiap jalur L2, terhadap total klaim remote sebesar 152.577 rsETH. Kelp belum mengonfirmasi secara publik bagaimana dana hasil pemulihan akan dialokasikan.
Per 20 April 2026, laporan tersebut menyebutkan treasury Aave DAO menyimpan aset senilai $181 juta, termasuk $62 juta pada aset yang berkorelasi dengan Ethereum, $54 juta dalam AAVE, dan $52 juta dalam stablecoin. DAO menghasilkan $145 juta pendapatan pada 2025 dan $38 juta year-to-date pada 2026. Llamarisk mengonfirmasi bahwa sejumlah komitmen indikatif dari peserta ekosistem sudah tersedia untuk menangani skenario potensi bad debt.
Cadangan WETH di Ethereum, Arbitrum, Base, Linea, dan Mantle berada pada 100 persen utilization, dengan saldo idle di bawah $20 di setiap chain. Pada kondisi utilization penuh, likuidator menerima aWETH ketimbang underlying WETH, sehingga memperlambat throughput likuidasi.
Laporan Llamarisk menandai Base dan Arbitrum sebagai pasar yang paling sedikit buffer, dengan likuidasi pertama dipicu oleh penurunan harga WETH masing-masing sebesar 0,77 persen dan 1,77 persen, karena posisi berjalan pada health factor sekitar 1,03.
Llamarisk merekomendasikan penghentian segera modul staking WETH Umbrella di bawah Skenario 1. Pada saat publikasi laporan, 18.922 dari 23.507 aWETH yang distake telah memasuki masa pending unstaking (cooldown).
Penghentian akan memblokir deposit, penarikan, transfer, dan slashing sambil tetap menjaga distribusi reward aktif. Empat pasar yang tercantum rsETH lainnya—Ethereum Lido, MegaETH, Plasma, dan Zksync—memiliki saldo yang remeh dan tidak ada bad debt. Dua belas pasar Aave V3 tambahan yang tidak mencantumkan rsETH tidak terdampak.
