Aave propone dos vías para gestionar $230M de deuda incobrable del hackeo de Kelp DAO
Alvin Lang 21 abr 2026 04:27
LlamaRisk describe escenarios para asignar pérdidas del exploit de $293M de Kelp DAO, con Aave enfrentando hasta $230M en deuda incobrable dependiendo de la decisión de Kelp.
El brazo de gestión de riesgos de Aave ha presentado dos escenarios para absorber las consecuencias del exploit de $293 millones de Kelp DAO del sábado, y la diferencia entre ellos es notable. Una vía deja a Aave con $123,7 millones en deuda incobrable. ¿La otra? Un agujero de $230,1 millones.
LlamaRisk publicó su análisis el lunes, tres días después de que los hackers drenaran 116.500 tokens rsETH del puente entre cadenas impulsado por LayerZero de Kelp DAO y los utilizaran inmediatamente como garantía en Aave V3 para pedir prestado Ether envuelto. El movimiento creó un problema en cascada: tokens robados respaldando préstamos reales que los prestatarios no tienen intención de devolver.
Los números que importan
El escenario uno distribuye las pérdidas entre todos los poseedores de rsETH en la red principal de Ethereum y layer 2s. Deuda incobrable: $123,7 millones. ¿El compromiso? Una desvinculación de aproximadamente 15% en rsETH en relación con ETH. LlamaRisk señala que las reservas de wETH "absorberían la mayor parte en términos absolutos pero apenas lo notarían en relación con la profundidad de las reservas".
El escenario dos concentra toda la escasez en redes de layer 2 como Arbitrum y Mantle. La deuda incobrable salta a $230,1 millones, casi el doble.
La decisión final recae en Kelp DAO, no en Aave. Ese es un consuelo frío para los depositantes de Aave que observan cómo el protocolo pierde capital. Desde el exploit, casi $10 mil millones en valor total han salido de Aave.
Con qué cuenta Aave
El protocolo no está indefenso. LlamaRisk señaló que 18.922 tokens aWETH por un valor aproximado de $43,7 millones ya han entrado en la fase de enfriamiento de unstaking bajo el modelo de seguridad Umbrella de Aave, fondos que podrían cubrir pérdidas parciales bajo el primer escenario.
La tesorería de Aave tiene alrededor de $181 millones, teóricamente suficiente para abordar una escasez bajo cualquiera de los dos escenarios. Si la gobernanza aprobaría tal despliegue es otra cuestión completamente diferente.
Cómo ocurrió el exploit
Kelp DAO proporcionó detalles adicionales el lunes. Los atacantes comprometieron dos nodos validadores vinculados a la infraestructura del puente entre cadenas de LayerZero mientras golpeaban a un tercero con un ataque DDoS. Esto les permitió falsificar un mensaje de transferencia que el sistema aprobó como legítimo, acuñando 116.500 rsETH en el puente entre cadenas.
La causa raíz, según informes anteriores citando a LayerZero: una configuración de Red de Verificador Descentralizada de 1 de 1. Un nodo comprometido fue todo lo que se necesitó.
El equipo de Kelp actuó rápidamente después de la detección, pausando contratos a través de Ethereum y layer 2s y poniendo en lista negra las billeteras de los explotadores. Esa intervención supuestamente evitó que se robaran otros 40.000 rsETH ($95 millones).
Qué sucede a continuación
Kelp DAO dice que todavía está evaluando el impacto financiero y trabajando con Aave, LayerZero y otras partes interesadas en un camino de recuperación. No se ha anunciado ningún cronograma para reanudar el protocolo.
Para los traders, la preocupación inmediata es el precio de rsETH. Una desvinculación del 15% bajo el escenario uno crearía oportunidades de arbitraje entre regiones, pero también atraparía a cualquiera que tenga rsETH como garantía en otros lugares de Staking en Defi. El riesgo de contagio que hizo que este exploit fuera tan dañino no ha terminado; solo está esperando una decisión de gobernanza.
Fuente de imagen: Shutterstock- aave
- kelp dao
- defi
- rseth
- layerzero
