Bankless：rsETH ataque abala setor DeFi

Autor: Jack Inabinet, Analista Sênior da Bankless; Tradução: @金色财经xz

À medida que a indústria de criptomoedas enfrenta dificuldades com as mais recentes vulnerabilidades de segurança em DeFi, todo o setor precisa confrontar uma questão de vida ou morte: As aplicações DeFi são realmente seguras?

No último fim de semana, o principal mercado de empréstimos de criptomoedas sofreu o maior ataque de vulnerabilidade DeFi deste ano. Um atacante habilidoso conseguiu, ao explorar a ponte cross-chain baseada em LayerZero do Kelp DAO, cunhar ilegalmente 116.5 mil rsETH.

Esses tokens recém-cunhados (sem respaldo de ativos reais) no valor de aproximadamente 290 milhões de dólares foram posteriormente depositados em protocolos de empréstimo tradicionais como Aave, e usados como garantia para emprestar bilhões de dólares em ETH, levando a inadimplências e desencadeando uma crise de liquidez em todo o setor.

1. Origem do Incidente

O ataque ocorreu em duas fases rápidas: Primeiro, o atacante conseguiu explorar a vulnerabilidade na ponte cross-chain do LayerZero do Kelp DAO, e depois, usando rsETH sem respaldo de ativos, retirou bilhões de dólares em fundos do Aave.

Fase 1: Queda na defesa do LayerZero

A ponte cross-chain do rsETH do Kelp DAO depende da infraestrutura de transmissão de mensagens do LayerZero.

A questão central é que: o Kelp DAO adotou uma configuração de segurança mínima ao integrar a ponte — ou seja, um modo de validação descentralizada 1/1 (DVN). Isso permitiu que um único nó de validação operado pelo LayerZero Labs tivesse permissão total para aprovar mensagens cross-chain.

Embora o LayerZero tenha afirmado em análises posteriores que alertou contra o uso de configurações de segurança mínimas e recomendou que pontes de alto valor utilizassem múltiplos validadores, seu protocolo ainda permite a implantação em modo 1/1.

Mais preocupante ainda, cerca de 47% dos protocolos na LayerZero usam essa mesma configuração.

O atacante explorou essa vulnerabilidade de ponto único de falha, falsificando uma mensagem legítima de cross-chain, levando a ponte operada pelo LayerZero a cunhar 116.5 mil rsETH sem respaldo de ativos reais, diretamente para um endereço sob seu controle.

Embora o contrato multi-assinatura do Kelp DAO tenha congelado imediatamente o contrato principal, já era tarde demais para reverter os danos que se seguiram…

Fase 2: Retirada de liquidez do Aave

Com os tokens roubados, o atacante depositou grande parte do rsETH no Aave V3 (além de pequenas quantidades em plataformas como SparkLend, Fluid, entre outras).

Por meio dessa posição de garantia fictícia, o atacante conseguiu usar tokens sem valor real como garantia para emprestar uma quantia enorme de WETH, resultando em uma inadimplência estimada de mais de 262 milhões de dólares para os credores do Aave.

Diante desse risco, os credores de DeFi mais atentos não ficaram esperando a inadimplência corroer suas posições, mas, em pânico, retiraram fundos coletivamente no fim de semana. Após o ataque, os principais protocolos perderam mais de 7 bilhões de dólares em ativos, sendo que apenas o Aave saiu com 6,2 bilhões, aproximadamente 23% do valor total bloqueado (TVL) do mercado de empréstimos.

O pânico no mercado levou a um aumento repentino na taxa de garantia de vários mercados de ETH, USDC e USDT na V3 do Aave, chegando a 100%, com a liquidez praticamente congelada, e os usuários incapazes de retirar mais ativos.

2. Estado Atual

Com dezenas de bilhões de dólares em ativos praticamente congelados no mercado de empréstimos de criptomoedas, os riscos estão se acumulando e se intensificando continuamente.

Os depositantes, com seus ativos de garantia emprestados, não podem gerenciar suas posições ativamente, enquanto as taxas de juros, influenciadas pela utilização de fundos, sobem rapidamente, aumentando a pressão sobre os tomadores de empréstimo. Com a liquidez se esgotando e o pânico se espalhando, há uma crescente preocupação com o acúmulo de inadimplências e a propagação de riscos em DeFi.

Para limitar as perdas, a governança do Aave desativou completamente os mercados de rsETH nas versões V3 e V4. Contudo, essa foi uma medida corretiva posterior; antes de resolver a vulnerabilidade grave, o protocolo ainda precisa lidar com inadimplências no valor de centenas de milhões de dólares.

3. Como Pode Evoluir a Situação?

O módulo de staking do Aave V3 atualmente detém 201 milhões de dólares em stablecoins e 56 milhões de dólares em WETH, fundos que podem ser utilizados para cobrir perdas, ajudando a absorver o déficit causado pelo rsETH. Além disso, o protocolo possui um fundo de segurança com tokens AAVE no valor de 266 milhões de dólares, que podem ser vendidos para cobrir o restante do déficit.

Embora o tamanho desses fundos de reserva indique que o Aave possa evitar a insolvência e absorver as perdas, o incidente com a vulnerabilidade do rsETH levantou preocupações mais profundas sobre a resiliência do mercado de empréstimos descentralizado.

Um impacto dessa magnitude pode fazer os usuários hesitarem em emprestar fundos — sem falar em assumir riscos por meio de staking ou do módulo de segurança — o que pode abalar a confiança na estratégia de liquidez unificada do Aave V3.

O sistema econômico de criptomoedas deveria ser construído com base na resiliência e na minimização de confiança. No entanto, na busca por uma experiência de usuário mais fluida ou por funcionalidades mais impressionantes, algumas equipes tomaram atalhos, introduzindo pontos de falha vulneráveis. A queda da ponte cross-chain LayerZero do Kelp DAO, que utiliza validação 1/1, é uma prova clara disso.

Eventos como esse destacam os riscos de sistemas mal projetados ou semi-centralizados, além de revelar o alto custo de atalhos na arquitetura de segurança.

Se o setor de criptomoedas deseja cumprir suas promessas, os construtores devem abandonar arquiteturas frágeis e retornar a princípios de segurança prioritária, evitando confiar em sistemas de múltiplas assinaturas ou assinantes únicos que possam ser pontos de falha.