Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Aave pode enfrentar perdas de até US$ 230 milhões depois que a exploração da ponte Kelp DAO desencadeia o caos DeFi
A exploração da ponte Kelp DAO e LayerZero que ocorreu no fim de semana saiu protocolo de empréstimo Aave enfrentando perdas potenciais de até US$ 230 milhões, dependendo de como a situação for resolvida.
O incidente, segundo de acordo com um relatório da Aave Labs e do provedor de serviços LlamaRisk publicado no fórum de governança Aave, centra-se no rsETH, um token de restabelecimento líquido emitido pela KelpDAO. Para mover rsETH entre blockchains, o protocolo depende de um mecanismo de ponte que bloqueia tokens em uma cadeia enquanto emite cópias correspondentes em outra.
Um invasor explorou essa configuração forjando uma mensagem de transferência que parecia válida. O sistema aprovou a transferência mesmo que os tokens nunca tenham sido retirados da cadeia de envio, o que significa que novos tokens foram efetivamente criados sem suporte, liberando 116.500 rsETH da ponte do lado Ethereum.
Em vez de vender os ativos no mercado aberto, o invasor depositou 89.567 rsETH na Aave como garantia e tomou emprestado cerca de US$ 190 milhões em ETH e ativos relacionados em Ethereum e Arbitrum, de acordo com o relatório. Isso deixou a Aave exposta a garantias cujo respaldo pode ser significativamente prejudicado.
Aave Labs disse que agiu rapidamente para conter o risco. Em poucas horas, o protocolo congelou os mercados rsETH em todas as suas implantações, definiu a relação empréstimo-valor para zero e interrompeu novos empréstimos contra o ativo.
O resultado agora depende em grande parte de como a Kelp lida com a escassez. Se as perdas forem distribuídas por todos os detentores de rsETH, o token enfrentaria uma descentralização estimada de 15% (o que significa que o valor dos tokens apostados não corresponderia ao valor do ETH real), resultando em cerca de US$ 124 milhões em dívidas inadimplentes para a Aave. Se, em vez disso, as perdas fossem isoladas nas redes da Camada 2, o impacto seria muito mais grave, com a inadimplência aumentando para cerca de US$ 230 milhões e concentrada em redes como Arbitrum e Mantle.
A exploração resultou de fraquezas na forma como Kelp verificou mensagens entre cadeias usando LayerZero. Ao manipular esse processo, o invasor conseguiu fazer com que certos ativos parecessem totalmente garantidos, quando não estavam, permitindo-lhes extrair valor do sistema. O próprio LayerZero não foi hackeado diretamente, mas sua camada de mensagens expôs suposições erradas em como Kelp validou dados de cadeia cruzada.
O incidente levantou preocupações de que algumas posições na Aave eram garantidas por garantias mal avaliadas ou que não eram mais totalmente garantidas, aumentando o risco de empréstimos com garantia insuficiente.
Em resposta, os usuários agiram para reduzir a exposição. Cerca de US$ 6 bilhões em valor total bloqueado foram retirados da Aave após o incidenterefletindo um amplo retrocesso à medida que os participantes reagiam à incerteza.
O episódio destacou a sua exposição indireta a sistemas externos. O impacto foi sentido através do aumento do risco de garantias, da pressão sobre as posições de crédito e de um declínio acentuado nos depósitos, à medida que os utilizadores reavaliavam a segurança da infraestrutura DeFi interligada.
O relatório disse que seu tesouro DAO detém aproximadamente US$ 181 milhões em ativos e que estão em andamento discussões com os participantes do ecossistema para lidar com possíveis perdas. A Kelp ainda não delineou como planeja alocar as perdas, deixando incerta a exposição final da Aave à medida que a situação continua a evoluir.
