TechFlow 보도에 따르면, 4월 21일 Aave의 리스크 서비스 제공업체인 LlamaRisk가 사건 보고서를 발표했다. 보고서에 따르면, 공격자가 2026년 4월 18일 Kelp의 LayerZero V2 Unichain에서 이더리움으로의 rsETH 라우팅 취약점을 악용하여, 1-of-1 DVN 구성 결함을 이용해 송신 데이터 패킷을 위조하고, 이더리움 측 어댑터로부터 불법적으로 116,500개의 rsETH를 해제하였다. 이 중 89,567개는 담보 자산으로 Aave V3의 여러 마켓(이더리움 Core 및 Arbitrum 등 체인 포함)에 예치되었으며, 이로 인해 약 82,650개의 WETH(약 1.91억 달러 상당) 및 821개의 wstETH가 대출되었다.
현재 어댑터에 남아 있는 rsETH는 단지 40,373개에 불과하며, 원격 체인(Remote Chain)에서의 rsETH 총 청구량은 152,577개에 달해 막대한 차액이 발생하였다. 손실 배분 방식에 따라 Aave는 두 가지 부실채권 시나리오에 직면하게 된다. 시나리오 1(글로벌 균등 분담)에서는 부실채권 규모가 약 1.237억 달러로 예상되며, 이 경우 이더리움 Core가 가장 큰 압박을 받게 된다. 시나리오 2(L2 체인에 한정된 손실)에서는 부실채권 규모가 약 2.301억 달러로 예상되며, Mantle은 WETH 보유량의 71.45%에 달하는 심각한 격차를, Arbitrum은 26.67%의 격차를 각각 겪게 된다.
사건 발생 직후 Aave 프로토콜 가디언(Guardians) 및 리스크 관리자들은 즉시 관련 11개 마켓의 rsETH/wrsETH 보유량을 모두 동결시키고, 대출비율(LTV)을 0으로 조정하였다. 또한 다중 체인의 WETH 금리도 하향 조정하였으며, WETH 대출 기능 역시 전면 동결하였다. Aave의 스마트 계약 자체는 공격을 받지 않았으며, 프로토콜 로직은 정상적으로 작동하고 있다. 현재 Aave DAO 국고에는 약 1.81억 달러 규모의 자산이 보유되어 있어 일정 수준의 부실채권 커버 능력을 확보하고 있으며, 관련 생태계 참여자들 또한 초기 지원 약속을 이미 제시하였다. 향후 조치 방안은 Kelp 측에서 발표할 최종 손실 배분 결정에 따라 구체화될 예정이다.
