Questo articolo è stato aggiornato con la seguente precisazione: "Un exploit da 290 milioni di dollari su rsETH potrebbe aver lasciato Aave V3 con un debito inesigibile nella sua riserva WETH". La notizia è in continua evoluzione e verrà aggiornata non appena avremo maggiori informazioni.
La riserva di Wrapped Ether (WETH) di Aave V3 presenta crediti inesigibili dopo che alcuni hacker hanno sfruttato il token di ristaking liquido rsETH di KelpDAO e lo hanno utilizzato come garanzia per ottenere prestiti a scapito del protocollo di prestito.
Lo sviluppatore e revisore di Solidity 0xQuit ha segnalato la situazione su X, avvertendo i depositanti che il pool WETH è di fatto compromesso e che i prelievi parziali saranno possibili solo dopo che il fondo di garanzia Umbrella di Aave avrà saldato il deficit.
Come il depauperamento di rsETH ha generato crediti inesigibili su Aave
L'attacco è iniziato con un malintenzionato che ha finanziato i wallet tramite Tornado Cash. Sono stati sottratti circa 116.500 rsETH da KelpDAO , per un totale di oltre 290 milioni di dollari.
L'attaccante ha quindi fornito gli rsETH rubati come garanzia su Aave V3 e ha preso in prestito un grande quantitativo di WETH a fronte di essi.
Poiché rsETH è diventato privo di garanzie dopo il prelievo, le posizioni risultanti sono di fatto non liquidabili. Ciò ha lasciato Aave con obbligazioni WETH che non può recuperare tramite la normale liquidazione.
"Vorrei avere notizie migliori, ma a quanto pare WETH su aave è nei guai. Ritiratevi se potete, ma probabilmente sarà troppo tardi", ha avvertito 0xQuit, sviluppatore e revisore di Solidity.
I mercati rsETH su Aave V3 e Aave V4 sono stati bloccati, e Aave ha assicurato che non vi sono stati casi di sfruttamento dei contratti, poiché l'incidente riguardava esclusivamente rsETH.
"Il congelamento dei mercati rsETH impedisce nuovi depositi e prestiti garantiti da rsETH mentre la situazione viene valutata. Stiamo esaminando le informazioni sui prestiti in rsETH su Aave avvenuti dopo l'exploit… se il protocollo accumula crediti inesigibili a seguito di questo incidente, gli asset Umbrella possono essere utilizzati per compensare il deficit", ha dichiarato Aave.
Cosa significa Umbrella per i depositanti di WETH
Il sistema Umbrella di Aave, che ha sostituito il vecchio modulo di sicurezza alla fine del 2025, è progettato proprio per questo scenario.
Gli utenti che hanno messo in staking aWETH nel vault di Umbrella subiranno una penalizzazione automatica per coprire il deficit.
Una volta completato il ciclo di riduzione, i fornitori WETH rimanenti dovrebbero riottenere un accesso parziale al prelievo.
Tuttavia, non è garantito un recupero completo e i depositanti potrebbero subire una riduzione del valore delle loro posizioni .
L'incidente rappresenta il primo importante test sul campo del sistema automatizzato di copertura dei crediti inesigibili di Umbrella. Solleva inoltre nuovi interrogativi sui rischi derivanti dall'inserimento in whitelist di token di rinegoziazione liquidi come garanzia nei protocolli di prestito.
Nel frattempo, il team di Upshift, che offre vault non custodial per la gestione di asset tokenizzati, ha assicurato agli utenti di non essere esposto al rischio legato a rsETH.
"Siamo in contatto con KelpDAO in merito a una potenziale vulnerabilità di rsETH. A titolo precauzionale, il team di Kelp ha deciso di sospendere temporaneamente depositi e prelievi dai vault High Growth ETH e Kelp Gain durante le indagini. I vault Upshift USDC, Core USDC e EarnAUSD non sono esposti a rsETH. Forniremo aggiornamenti non appena li riceveremo dal team di Kelp", ha scritto Upshift.
L'articolo " I fornitori di Aave WETH sono stati invitati a ritirarsi dopo la vulnerabilità di KelpDAO rsETH" è apparso per la prima volta su BeInCrypto .