TechFlowより、4月21日、AaveのリスクサービスプロバイダーであるLlamaRiskがインシデント報告を公表しました。同報告によると、2026年4月18日、攻撃者はKelp社が提供するLayerZero V2 Unichainからイーサリアムへ向けたrsETHルーティングにおける脆弱性(1-of-1 DVN構成の欠陥)を悪用し、着信パケットを偽装してイーサリアム側アダプターから不正に116,500枚のrsETHを解放しました。その後、攻撃者はそのうち89,567枚を担保としてAave V3の複数市場(イーサリアムCoreおよびArbitrumなど)に預け入れ、約82,650枚のWETH(約1億9,100万米ドル相当)および821枚のwstETHを借入しました。
現在、当該アダプターには残り40,373枚のrsETHしか残っておらず、リモートチェーンにおけるrsETHの総請求額は152,577枚に達しており、大きな不足が生じています。損失配分方式によって、Aaveは以下の2つの不良債権シナリオに直面しています:シナリオ1(グローバル均等配分)では、不良債権額は約1億2,370万米ドルと予測され、イーサリアムCoreが最も大きな負担を強いられます。シナリオ2(L2に限定した損失配分)では、不良債権額は約2億3,010万米ドルと予測され、MantleではWETH準備金の71.45%、Arbitrumでは26.67%の不足が発生します。
本件発生後、Aaveプロトコルのガーディアンおよびリスク管理者は直ちに、全11市場におけるrsETH/wrsETH準備金を凍結し、LTV(ローン・トゥ・バリュー)をゼロに設定しました。さらに、マルチチェーンWETHの金利を引き下げるとともに、WETHの貸付を凍結しました。Aaveのスマートコントラクト自体は攻撃を受けておらず、プロトコルの論理的な動作は正常です。現在、Aave DAOのトレジャリーには約1億8,100万米ドル相当の資産が保有されており、一定の不良債権カバー能力を有しています。また、関連エコシステム各社もすでに初期の支援表明を行っています。今後の対応策については、Kelp社による公式な損失配分決定を待って検討されます。
