O ataque rsETH, que começou na noite de sábado, 18 de abril, escalou de um único hack na ponte para uma das maiores crises de liquidez da história do DeFi em uma semana. 116.500 rsETH, no valor de aproximadamente $292 milhões, foram cunhados via uma mensagem falsa na ponte rsETH do KelpDAO baseada em LayerZero. O atacante então depositou diretamente esses tokens "não garantidos" na Aave, efetivamente tomando emprestado ativos reais. Aqui está um resumo dos eventos da semana:

Como funcionou o ataque?

Usando a configuração de validadores únicos do LayerZero (1-de-1), a ponte do KelpDAO validou a mensagem falsa de lzReceive do atacante. Isso permitiu que rsETH fosse cunhado sem bloquear qualquer ETH na carteira.

Estes rsETH foram depositados na Aave V3 como garantia em minutos. O protocolo, por sua natureza, aceitou a solicitação, e o atacante retirou aproximadamente $190 milhões em WETH, wstETH e stablecoins. Aave posteriormente afirmou que "o sistema funcionou de acordo com seu design, o problema foi que a garantia era fraudulenta."

Os mesmos tokens também foram utilizados nos mercados da Aave na Arbitrum e na Base. O déficit total, de acordo com estimativas iniciais, varia entre $123 milhões e $230 milhões.

Corrida bancária na Aave

Assim que a notícia se espalhou, os usuários entraram em pânico. O fornecimento total na Aave, que era de $45,8 bilhões na noite de sábado, caiu para $30,8 bilhões na manhã de quarta-feira. A saída de aproximadamente $15 bilhões foi a retirada mais rápida da história do protocolo.

O momento mais crítico foi quando os pools de USDT e USDC atingiram 100% de utilização. Aproximadamente $5 bilhões em stablecoins tornaram-se inutilizáveis porque os tomadores de empréstimos não conseguiram pagar. Enquanto os usuários protestavam com reclamações de "meu dinheiro está bloqueado" no X, o token AAVE perdeu 17,7% do seu valor em três dias.

A gestão da Aave congelou os mercados de rsETH na Ethereum, Arbitrum e Optimism. Novos depósitos de garantia e empréstimos foram interrompidos.

Congelamento e Rastreamento

Na segunda-feira, o Conselho de Segurança do Arbitrum congelou 30.766 ETH, aproximadamente $71 milhões, na carteira do atacante e transferiu para um cofre não monitorado. Isso gerou um debate sobre descentralização, mas pelo menos parte do dinheiro foi recuperada.

Os fundos restantes estão sendo lavados rapidamente. Detectives on-chain determinaram que o atacante converteu 34.500 ETH, aproximadamente $175 milhões, em Bitcoin via THORChain. Quantidades menores foram encaminhadas pelo protocolo de privacidade Umbra. O LayerZero atribuiu o ataque à célula "TraderTraitor" do grupo Lazarus, ligado à Coreia do Norte.

DeFi Unido: A Contraofensiva do Setor

Algo incomum aconteceu no meio da semana. Aave, Spark, Morpho, Curve e Mantle formaram um pool de recuperação chamado "DeFi United". O objetivo é reconstruir a garantia do rsETH.

Inicialmente, 43.500 ETH, aproximadamente $101 milhões, foram depositados no pool comum.
Mantle abriu uma linha de crédito de 30.000 ETH para a Aave e declarou, "contribuiremos do tesouro se necessário."
Até o momento, mais de $204 milhões em ativos foram reembolsados, e a liquidez começou a se normalizar.

A equipe do KelpDAO pausou todos os contratos de rsETH e está reescrevendo a ponte com LayerZero. A LayerZero anunciou que cancelou todas as configurações de validadores únicos e interrompeu a assinatura de mensagens.

Então, qual é a situação do rsETH agora?

O token ainda não garante ETH na proporção 1:1. Está sendo negociado com um desconto de 6-8% no mercado. Aave ainda não decidiu se socializará a perda. Três opções estão em discussão:

Cobertura do tesouro da Aave
Transferir perdas para os detentores de rsETH
Recompra gradual com o pool DeFi United

A questão mais urgente para os usuários são os stablecoins bloqueados. Aave afirma que as retiradas de USDT/USDC serão abertas à medida que os reembolsos dos tomadores de empréstimos acelerarem.

Qual é a lição?

O ataque de $292 milhões mostrou como um único erro de configuração pode eliminar $14 bilhões de TVL do DeFi. Projetos de "infraestrutura" como a LayerZero agora são responsáveis não apenas pelo código, mas também pela segurança operacional.

Os dados mais recentes compartilhados sob a hashtag #rsETHAttackUpdate mostram que o pior da crise passou, mas a ferida não cicatrizou. O congelamento da Arbitrum salvou $71 milhões, o DeFi United arrecadou $100 milhões, mas ainda há um déficit de $120 milhões.

Para o setor, este é o maior "teste de confiança" desde a queda do Terra em 2022. Se a Aave absorver o dano, a narrativa de "código é lei" do DeFi dará lugar a uma narrativa de "seguro comunitário". Se não, começará um processo legal prolongado entre os detentores de rsETH e os depositantes da Aave.

O ataque, que começou há uma semana, agora é um problema não apenas para o KelpDAO, mas para todo o ecossistema de restaking.