Aave schat slechte schuld op $124 miljoen tot $230 miljoen door Kelp-exploit

Aave-dienstverleners hebben maandag een incidentrapport gepubliceerd. Daarin kwantificeren ze de blootstelling van het protocol aan de rsETH-bridge-exploit van Kelp DAO op 18 april. Het rapport schetst twee scenario's voor slechte schuld. Die variëren van $123,7 miljoen tot $230,1 miljoen. Daarnaast adviseren ze om de Umbrella-veiligheidsmodule van het protocol direct te pauzeren. Volgens het rapport, geplaatst op het governance-forum van Aave, zijn 89.567 van de 116.500 gestolen rsETH van Kelps LayerZero-bridge gestort. Dit gebeurde over zeven portefeuilles die de aanvaller beheert op Aave. Deze posities leenden 82.650 WETH ($190,86 miljoen) en 821 wstETH ($2,33 miljoen). De grootste individuele positie bevindt zich op de Ethereum Core-markt van Aave. Daar leverde één portefuille 53.000 rsETH en leende 52.460 WETH, wat neerkomt op $121 miljoen. De overige posities zijn verdeeld over de Arbitrum-implementatie van Aave. Alle posities van de aanvaller hebben momenteel een gezondheidsfactor tussen 1,01 en 1,03. Ik beschouw deze gezondheidsfactoren als kritiek. Zelfs een kleine prijspiek in het onderpand kan leiden tot oninbare vorderingen. Een nadere analyse van de clearing-mechanismen en de staat van de veiligheidsmodule is hier op zijn plaats.