Постачальник управління ризиками платформи децентралізованого кредитування Aave окреслив два сценарії того, як безнадійна заборгованість від експлойту Kelp DAO у вихідні може вплинути на екосистему, залежно від того, як розподіляються збитки.
Інцидент почався в суботу, коли хакери вкрали 116 500 токенів Kelp DAO Restaked ETH (rsETH) вартістю 293 мільйони доларів із мосту Kelp DAO на базі LayerZero та використали їх як заставу на Aave V3, щоб позичити загорнутий ефір (wETH).
У понеділок LlamaRisk змоделювала два можливі сценарії того, як цей «поганий борг» може матеріалізуватися на Aave, зазначивши, що остаточне рішення залишається за Kelp DAO.
Цей інцидент підкреслює ризик зараження в DeFi, де один експлойт мосту може спровокувати скорочення ліквідності та масове виведення через такі взаємопов’язані протоколи, як Aave, вартість якого покинула протокол на суму майже 10 мільярдів доларів з моменту експлойту Kelp DAO.
Два сценарії та можливі шляхи розвитку
За першим сценарієм збитки розподіляться між усіма власниками токенів rsETH у основній мережі Ethereum і на рівні 2 Ethereum, що призведе до безнадійної заборгованості на суму приблизно 123,7 мільйона доларів на Aave, водночас ризикуючи 15% відставанням rsETH відносно ефіру (ETH).
LlamaRisk сказав, що цей перший сценарій більш тонко розподілить збитки між усіма ланцюжками, зазначивши при цьому, що загорнутий ефір (wETH) «поглинатиме основну масу в абсолютному вираженні, але ледве помічатиме це відносно глибини резерву».
Aave також може використовувати свою модель безпеки Umbrella для покриття збитків у wETH за першим сценарієм, зазначивши, що 18 922 токени Aave Wrapped ETH (aWETH) вартістю майже 43,7 мільйона доларів увійшли у фазу відновлення без ставки.
Другий сценарій перенесе весь дефіцит на мережі рівня 2 Ethereum, такі як Arbitrum і Mantle. Проте безнадійна заборгованість була б значно вищою – 230,1 мільйона доларів.
LlamaRisk також зазначив, що Aave має близько 181 мільйона доларів у своїй скарбниці, які можуть бути використані для усунення потенційного дефіциту безнадійних боргів.
У понеділок Kelp DAO повідомила, що все ще оцінює фінансовий вплив експлойту та те, як безпечно призупинити протокол, додавши, що вона працює з Aave, LayerZero та іншими зацікавленими сторонами над подальшим просуванням.
Kelp DAO проливає більше світла на експлойт
Kelp DAO також поділився більш детальною інформацією про інцидент, заявивши, що два вузли, пов’язані з мостом LayerZero, були скомпрометовані, а третій постраждав від розподіленої атаки відмови в обслуговуванні.
Зловмисник підробив, здавалося б, дійсне повідомлення про передачу, яке схвалила система, що дозволило викарбувати 116 500 rsETH на одному з мостів LayerZero.
Kelp заявив, що призупинив усі відповідні контракти на Ethereum та рівні 2 Ethereum і невдовзі після цього вніс у чорний список усі гаманці, пов’язані з експлойтером, не даючи їм викрасти ще 40 000 rsETH на суму 95 мільйонів доларів.
