В резерве Wrapped Ether (WETH) версии Aave V3 появилась токсичная задолженность после того, как злоумышленники воспользовались уязвимостью в сервисе рестейкинга KelpDAO с токеном rsETH и внесли его в качестве залога для заимствования средств в протоколе.

Разработчик и аудитор на Solidity 0xQuit отметил в X, что под угрозой оказались средства пользователей: пул WETH сейчас практически парализован, а частичные выводы станут доступны только после того, как страховочный фонд Aave Umbrella покроет дефицит.

Как утечка rsETH привела к образованию долгов на Aave

Атака началась с перевода средств через Tornado Cash. Злоумышленник вывел около 116 500 rsETH из KelpDAO – сумма превысила $290 млн.

Похищенные rsETH затем использовали как залог на Aave V3, чтобы занять крупный объем WETH.

Поскольку после инцидента rsETH утратили обеспечение, по таким позициям стала невозможна ликвидация. В итоге на балансе Aave остались незакрытые обязательства в WETH, которые нельзя возместить стандартными методами.

«Хотел бы сообщить хорошие новости, но, похоже, с WETH на aave все плохо. Если есть возможность — выводите средства, но, вероятно, уже поздно», — предупредил разработчик и аудитор 0xQuit.

Рынки rsETH на Aave V3 и V4 сейчас заморожены. В компании подчеркнули, что смарт-контракты не пострадали, а уязвимость затронула только rsETH.

«Заморозка рынков rsETH остановила ввод новых средств и выдачу займов под этот залог до завершения анализа ситуации. Мы изучаем подробности по займам с rsETH, взятым на Aave после взлома. Если в ходе инцидента на платформе образуется токсичный долг, Umbrella может быть использована для его покрытия», — сообщили в Aave.

Как работает Umbrella для держателей WETH

Система Umbrella, пришедшая на смену модулю Safety Module в конце 2025 года, была создана именно для подобных случаев.

Пользователи, которые отправили aWETH в хранилище Umbrella, рискуют частичной потерей средств — их активы автоматически списываются для покрытия дефицита.

После завершения процедуры списания у оставшихся поставщиков WETH должна восстановиться частичная возможность вывода средств.

Однако полного восстановления никто не гарантирует — вкладчики могут понести убытки по своим позициям.

Сейчас ситуация стала первым крупным реальным испытанием для системы автоматического покрытия проблемных долгов Umbrella. Она также поднимает новые вопросы о рисках добавления ликвидных токенов рестейкинга в белый список залоговых активов на платформах для кредитования.

Пока что команда Upshift, управляющая некостодиальными хранилищами для токенизированных активов, заверила пользователей, что их продукты не связаны с rsETH.

«Мы на связи с командой KelpDAO по поводу возможной уязвимости в rsETH. В качестве превентивной меры Kelp временно ограничила ввод и вывод в хранилищах High Growth ETH и Kelp Gain до завершения расследования. У хранилищ Upshift USDC, Core USDC и EarnAUSD нет никакой связи с rsETH. Мы будем делиться новостями от команды Kelp, как только они появятся», — сообщили в Upshift.

The post Поставщикам WETH в Aave рекомендовано вывести средства из-за взлома KelpDAO rsETH appeared first on BeInCrypto.