Aave V3’s Wrapped Ether (WETH) reserve heeft nu slechte schulden, nadat aanvallers het KelpDAO rsETH liquid restaking token hebben misbruikt en deze als onderpand gebruikten om te lenen bij het leenprotocol.
Solidity-ontwikkelaar en auditor 0xQuit waarschuwde op X voor deze situatie. Volgens hem is de WETH-pool nu in de problemen en zijn opnames slechts gedeeltelijk mogelijk als Aave’s Umbrella-backstop eerst het tekort heeft opgevangen.
Hoe het leeglopen van rsETH slechte schuld op Aave veroorzaakte
De aanval begon toen iemand via Tornado Cash wallets financierde. Ongeveer 116.500 rsETH werd uit KelpDAO gehaald, met een totale waarde van meer dan $290 miljoen.
De aanvaller gebruikte de gestolen rsETH vervolgens als onderpand op Aave V3 en leende daartegen een grote hoeveelheid WETH.
Omdat de rsETH na deze actie waardeloos werd, kunnen de bijbehorende posities niet worden geliquideerd. Hierdoor zit Aave nu met WETH-schulden die onder normale omstandigheden niet te innen zijn via liquidatie.
“Ik wou dat ik beter nieuws had, maar het lijkt erop dat WETH op aave de klos is. Neem op als je kunt, maar waarschijnlijk ben je te laat,” waarschuwde 0xQuit, Solidity-ontwikkelaar en auditor.
De rsETH-markten op Aave V3 en Aave V4 zijn bevroren. Aave benadrukt dat de contracten niet gehackt zijn en dat het incident alleen de rsETH betreft.
“Het bevriezen van de rsETH-markten voorkomt nieuwe stortingen en leningen met rsETH als onderpand, terwijl de situatie verder wordt onderzocht. We bekijken gegevens over rsETH-leningen via Aave na de aanval… Als het protocol hierdoor slechte schulden oploopt, kunnen Umbrella-activa gebruikt worden om het tekort op te vangen,” meldde Aave.
Wat Umbrella betekent voor WETH-depositohouders
Het Umbrella-systeem van Aave, dat eind 2025 de oude Safety Module verving, is gemaakt voor dit soort situaties.
Gebruikers die aWETH in de Umbrella-vault hebben gestaked, krijgen automatisch een slashing om het tekort op te vangen.
Zodra de slashing-cyclus is afgerond, zouden de overgebleven WETH-uitleners weer gedeeltelijk bij hun tegoed moeten kunnen.
Een volledig herstel is echter niet zeker en depositohouders kunnen een verlies op hun posities krijgen.
Dit incident is de eerste grote praktijkproef voor de automatische dekking van slechte schuld door Umbrella. Tegelijkertijd roept het nieuwe vragen op over de risico’s van het toelaten van liquid restaking tokens als onderpand bij leenprotocollen.
Ondertussen laat het Upshift-team, dat non-custodial vaults biedt voor beheer van getokeniseerde assets, weten dat hun gebruikers geen blootstelling hebben aan rsETH.
“We zijn in contact met KelpDAO over een mogelijk misbruik van rsETH. Uit voorzorg heeft het Kelp-team besloten om tijdelijk stortingen en opnames bij de High Growth ETH- en Kelp Gain-vaults te pauzeren tijdens hun onderzoek. De Upshift USDC-, Core USDC- en EarnAUSD-vaults hebben nul blootstelling aan rsETH. We blijven updates delen zodra we deze van het Kelp-team ontvangen,” deelde Upshift.
