KelpDAO foi roubado, afetando toda a indústria DeFi, como resolver as enormes perdas de crédito?

Editora | Wu sobre Blockchain

18 de abril, os ativos cross-chain rsETH da KelpDAO sofreram um ataque em grande escala, com uma perda de aproximadamente 290 milhões de dólares (cerca de 116.500 rsETH, representando 18% da oferta circulante). A LayerZero Labs, em sua última declaração, atribuiu preliminarmente o ataque ao grupo Lazarus da Coreia do Norte (também conhecido como TraderTraitor). Os atacantes contaminarem os nós RPC downstream do LayerZero DVN e, em conjunto com ataques DDoS, induziram uma transferência de falha, fazendo com que o DVN confirmasse que “nenhuma transação ocorreu”, permitindo a falsificação de mensagens cross-chain.

Embora o incidente não tenha sido dirigido diretamente ao protocolo Aave, ele desencadeou um impacto sistêmico raro na história do DeFi. O TVL do Aave caiu cerca de 8,45 bilhões de dólares em 48 horas (com uma redução recente de aproximadamente 8 a 9,5 bilhões de dólares), enquanto o TVL total do DeFi em toda a cadeia encolheu de 99,497 bilhões de dólares para 86,286 bilhões, evaporando 13,21 bilhões de dólares. O evento rapidamente se espalhou das cadeias EVM para Solana, com protocolos de empréstimo como Kamino tendo a taxa de utilização do USDC atingindo instantaneamente 100%, colocando a indústria DeFi em modo de “teste de resistência”.

A LayerZero divulgou: ponto único de falha, não uma vulnerabilidade do protocolo

No dia 20 de abril, a LayerZero Labs publicou uma explicação detalhada confirmando que o ataque foi precisamente direcionado à configuração de DVN 1/1 utilizada pela KelpDAO (dependendo de apenas um validador da LayerZero Labs), divergindo da prática recomendada habitual de múltiplos DVNs com redundância. Os atacantes, por meio de envenenamento, substituição binária e ataques DDoS, induziram a confirmação de “nenhuma transação”, sem explorar vulnerabilidades de protocolo ou chaves. O impacto foi limitado ao rsETH, sem se espalhar para outros ativos OApp/OFT. A LayerZero descartou e substituiu todos os RPCs afetados, restaurou o funcionamento do DVN e solicitou que todos os projetos com configuração 1/1 migrem rapidamente para múltiplos DVNs. Além disso, está colaborando com autoridades globais para rastrear os fundos.

No entanto, o principal desenvolvedor do Yearn Finance, banteg, questionou essa descrição de forma clara. Ele afirmou que rotular o incidente como “RPC poisoning” (envenenamento de RPC) não é preciso e confunde conceitos. Em ataques tradicionais de rede, o envenenamento de RPC ocorre quando o invasor altera informações fora da fronteira de confiança, como DNS, ARP ou cache, sem que o receptor duvide da origem. Mas neste caso, os atacantes entraram na fronteira de confiança do LayerZero, acessando a lista de RPCs, invadindo dois nós dependentes do DVN e substituindo o binário op-geth, o que se aproxima mais de uma invasão à infraestrutura interna (infra breach) ou de um ataque na cadeia de suprimentos, e não de um típico envenenamento externo de rede. banteg acredita que essa descrição subestima a gravidade do ataque e recomenda que, antes de identificar a vulnerabilidade específica, não se deve retomar a ponte cross-chain precipitadamente.

Aave na linha de frente: aproximadamente 200 milhões de dólares em inadimplência + corrida de liquidez

Após o ataque, os hackers usaram o rsETH roubado como garantia para emprestar ETH na Aave, resultando em inadimplência de cerca de 195 a 216 milhões de dólares, que não podem ser recuperados por meio de liquidações normais. Diversos mercados do Aave V3 atingiram uma taxa de utilização de 100%, provocando uma onda de saques em massa — Justin Sun retirou sozinho cerca de 65.5 mil ETH. Dados do DeFiLlama mostram que, nas últimas duas dias, o TVL do Aave encolheu mais de 8 bilhões de dólares, com o mercado dominado pelo pânico.

Monetsupply.eth, responsável estratégico do Spark, apontou que, já em janeiro, a Spark removeu ativos de baixa utilização como rsETH, restringindo o escopo de garantias. Apesar de perdas de curto prazo, essa estratégia cautelosa se mostrou eficaz: o mercado ETH do SparkLend ainda mantém liquidez suficiente para saques, enquanto os mercados multi-chain do Aave já enfrentam escassez de liquidez.

Como resolver a enorme inadimplência? Três caminhos à vista

O cofundador do DeFiLlama, 0xngmi, analisou que a KelpDAO enfrenta três principais opções de resolução:

1. Compartilhar perdas com todos os usuários: resultando em uma redução de aproximadamente 18,5%, gerando cerca de 216 milhões de dólares em inadimplência. O ETH do Umbrella pode cobrir cerca de 55 milhões de dólares, o tesouro do Aave cobre aproximadamente 85 milhões, restando uma lacuna de cerca de 76 milhões, que pode ser preenchida por empréstimos ou venda de tokens AAVE no valor de cerca de 51 milhões de dólares.

2. Perdas concentradas nos detentores de rsETH em L2: potencialmente causando inadimplência de cerca de 341 milhões de dólares, sem cobertura do Umbrella.

3. Compensação baseada em snapshot pré-ataque: devido à grande movimentação de fundos e à estrutura de pools do protocolo, a execução é difícil, mas mesmo após a cobertura do Umbrella, ainda restariam cerca de 91 milhões de dólares em perdas.

Yishi, fundador da OneKey, afirmou que a melhor solução seria “negociar com os hackers, oferecendo uma recompensa de 10–15%”; se a negociação falhar, o principal prejuízo poderia ser assumido pelo fundo ecológico do LayerZero. Como “a parte mais fraca”, a KelpDAO poderia compensar com tokens ou receitas futuras, ou considerar uma venda total para o LayerZero (L0) ou BMNR. O Umbrella do Aave e o stkAAVE formam a última linha de defesa, mas ele também alerta que os detentores de WETH não devem suportar perdas, sob risco de reprecificação por protocolos como Morpho, Spark, Fluid, Euler, entre outros, prejudicando a confiança na pista LRT como um todo.

Atualmente, o módulo de segurança do Umbrella do Aave enfrenta seu primeiro teste de resistência real, e sua capacidade de cobrir completamente a lacuna ainda é incerta.

Posição do Ethereum Foundation em foco, confiança do setor abalada

O analista de DeFi, Ignas, apontou que a Ethereum Foundation (EF) possui cerca de 48 milhões de dólares em ativos na rede principal do Aave. Se o mercado principal não sofrer redução, isso favoreceria a segurança da posição da EF. A EF, que evitou por muito tempo o DeFi, começou recentemente a alocar em “DeFi de baixo risco”, e este incidente pode influenciar suas decisões futuras.

De forma mais ampla, o evento já provocou uma reflexão na indústria: riscos de confiança em garantias externas LST/LRT, vulnerabilidades de pontos únicos em pontes cross-chain e os mecanismos de liquidez do DeFi sob pressão extrema. Na Solana, o USDC Reserve do Kamino Prime Market atingiu 100% de utilização, com vários Vaults acima de 95%, indicando que a fuga de fundos já se espalhou cross-chain.

O “rito de passagem” do DeFi ou um ponto de inflexão?

Este não é um bug no código do Aave, mas uma reação em cadeia sistêmica provocada por “confiança errada em ativos de garantia”. Como afirmam vários analistas, a configuração 1/1 DVN da KelpDAO e a dependência excessiva de garantias externas refletem um risco coletivo.

A LayerZero enfatiza que “a arquitetura de segurança modular isola os impactos”, mas o setor ainda precisa de mecanismos mais rigorosos de entrada de garantias, padrões obrigatórios de multi-DVN e melhores mecanismos de compartilhamento de inadimplência.

Se o Aave conseguir superar essa crise com o Umbrella, será um importante indicador de resiliência do DeFi. A curto prazo, a saída de TVL e o pânico podem persistir; a médio e longo prazo, se as inadimplências forem geridas de forma ordenada e impulsionarem melhorias no protocolo, este incidente pode se tornar um marco na gestão de riscos. Caso contrário, como teme Yishi, a reconstrução da confiança na pista LRT e no DeFi como um todo pode levar mais tempo.