Aave V3의 Wrapped Ether(WETH) 준비금이 공격자가 KelpDAO의 유동성 리스태킹 토큰인 rsETH를 담보로 대출 플랫폼에서 차입하면서 부실채권이 발생하고 있습니다.
솔리디티 프로그래머이자 0xQuit 감사자인 X는 예금자들에게 WETH 풀에 심각한 문제가 발생했으며 Aave의 우산형 예비 기금이 손실을 보전한 후에야 부분적으로 인출이 가능하다는 점을 상기시키며 경고했습니다.
rsETH가 유출된 방식 때문에 Aave에 악성 부채가 발생했습니다.
공격은 공격자들이 토네이도 캐시를 통해 지갑으로 자금을 이체하면서 시작되었습니다. KelpDAO에서 약 116,500 rsETH가 인출 되었으며, 이는 총 2억 9천만 달러가 넘는 금액입니다.
공격자는 탈취한 rsETH를 Aave V3에 담보로 사용하여 대량의 WETH를 빌렸습니다.
rsETH가 고갈되어 더 이상 담보로 사용할 수 없게 되면, 이러한 담보권은 청산됩니다. 이로 인해 Aave는 일반적인 청산 방식으로는 회수할 수 없는 WETH를 상환해야 하는 의무를 지게 됩니다 .
"좋은 소식을 전해드리고 싶지만, Aave의 WETH 풀이 완전히 고장난 것 같습니다. 아직 출금이 가능하다면 출금하세요. 하지만 이미 너무 늦었을 가능성이 큽니다."라고 솔리디티 개발자이자 보안 감사자인 0xQuit이 경고했습니다 .
현재 Aave V3 및 Aave V4의 rsETH 마켓이 동결되었습니다. Aave는 해당 계약들이 해킹당한 것이 아니며, 문제는 rsETH에만 해당된다고 확인했습니다.
"rsETH 시장 동결은 rsETH를 담보로 하는 신규 예금이나 대출을 막아 상황을 평가할 시간을 벌어줄 것입니다. 이번 사건 이후 발생한 Aave의 rsETH 관련 대출을 검토 중이며, 만약 이로 인해 프로토콜에 추가적인 부실채권이 발생할 경우, Umbrella의 자산을 사용하여 손실을 상쇄할 것입니다."라고 Aave는 발표했습니다 .
Umbrella는 발신자 WETH에 어떤 영향을 미칠까요?
2025년 말 출시 예정인 Aave의 Umbrella 시스템은 기존 Safety Module을 대체하며, 이번 사고와 같은 상황에서 보호 기능을 제공하도록 설계되었습니다.
엄브렐라 금고 에 aWETH를 예치한 사람들은 부족분을 메우기 위해 예치금이 자동으로 줄어들 수 있습니다.
구조조정 과정이 완료되면 남은 WETH 공급업체들은 자금 풀에서 자신들의 자금 일부를 인출할 수 있게 됩니다.
하지만 전액을 회수할 수 있을지는 불확실하며, 예금주는 자산의 일부(예금 잔액 감소)를 경험할 수 있습니다 .
이번 사건은 우산 시스템이 실제로 이처럼 대규모의 부실채권을 자동으로 처리하는 데 사용된 첫 사례이기도 합니다. 또한 이번 사건은 대출 플랫폼에서 유동성이 높은 리스태킹 토큰을 담보로 화이트리스트에 추가하는 것에 대한 위험성에 대한 새로운 우려를 불러일으켰습니다.
한편, 토큰화된 자산 관리를 지원하는 비수탁형 금고 플랫폼인 Upshift 팀은 rsETH와는 어떠한 접촉도 없다고 사용자들에게 확신시켜 주었습니다.
업시프트는 "rsETH와 관련된 잠재적 문제에 대해 켈프DAO와 연락을 취하고 있습니다. 안전상의 이유로 켈프 팀은 조사가 진행되는 동안 하이 그로스 ETH 및 켈프 게인 볼트의 입출금을 일시적으로 중단했습니다. 업시프트 USDC, 코어 USDC 및 이어나 USD 볼트는 현재 rsETH의 영향을 받지 않습니다. 켈프로부터 추가 정보를 받는 대로 업데이트를 제공하겠습니다." 라고 발표했습니다 .
