O ataque rsETH, que começou na noite de sábado, 18 de abril, escalou de um único hack na ponte para uma das maiores crises de liquidez da história do DeFi em uma semana. 116.500 rsETH, avaliado em aproximadamente $292 milhões, foram cunhados via uma mensagem falsa na ponte rsETH do KelpDAO baseada em LayerZero. O atacante então depositou diretamente esses tokens "não lastreados" no Aave, efetivamente tomando emprestado ativos reais. Aqui está um resumo dos eventos da semana:

Como funcionou o ataque?

Usando a configuração de validador único do LayerZero (1-de-1), a ponte do KelpDAO validou a mensagem falsa de lzReceive do atacante. Isso permitiu que rsETH fosse cunhado sem bloquear ETH na carteira.

Esses rsETH foram depositados no Aave V3 como garantia em questão de minutos. O protocolo, por sua natureza, aceitou a solicitação, e o atacante retirou aproximadamente $190 milhões em WETH, wstETH e stablecoins. O Aave posteriormente afirmou que "o sistema funcionou de acordo com seu design, o problema foi que a garantia era fraudulenta."

Os mesmos tokens também foram usados nos mercados do Aave na Arbitrum e na Base. O déficit total, de acordo com estimativas iniciais, varia entre $123 milhões e $230 milhões.

Corrida bancária no Aave

Assim que a notícia se espalhou, os usuários entraram em pânico. A oferta total no Aave, que era de $45,8 bilhões na noite de sábado, caiu para $30,8 bilhões na manhã de quarta-feira. A saída de aproximadamente $15 bilhões foi a retirada mais rápida da história do protocolo.

O momento mais crítico foi quando os pools de USDT e USDC atingiram 100% de uso. Aproximadamente $5 bilhões em stablecoins tornaram-se inutilizáveis porque os tomadores de empréstimos não conseguiram pagar. Enquanto os usuários protestavam com reclamações de "meu dinheiro está bloqueado" no X, o token AAVE perdeu 17,7% de seu valor em três dias.

A gestão do Aave congelou os mercados de rsETH no Ethereum, Arbitrum e Optimism. Novos depósitos de garantia e empréstimos foram interrompidos.

Congelamento e Rastreamento

Na segunda-feira, o Conselho de Segurança do Arbitrum congelou 30.766 ETH, aproximadamente $71 milhões, na carteira do atacante e transferiu para um cofre não monitorado. Isso gerou um debate sobre descentralização, mas pelo menos parte do dinheiro foi recuperada.

Os fundos restantes estão sendo lavados rapidamente. Detectives on-chain determinaram que o atacante converteu 34.500 ETH, aproximadamente $175 milhões, em Bitcoin via THORChain. Quantidades menores foram roteadas pelo protocolo de privacidade Umbra. O LayerZero atribuiu o ataque à célula "TraderTraitor" do grupo Lazarus, ligado à Coreia do Norte.

DeFi Unido: A Contraofensiva do Setor

Algo incomum aconteceu no meio da semana. Aave, Spark, Morpho, Curve e Mantle formaram um pool de recuperação chamado "DeFi United". O objetivo é reconstruir a garantia do rsETH.

Inicialmente, 43.500 ETH, aproximadamente $101 milhões, foram depositados no pool comum.
Mantle abriu uma linha de crédito de 30.000 ETH para o Aave e declarou, "contribuiremos do tesouro se necessário."
Até o momento, mais de $204 milhões em ativos foram reembolsados, e a liquidez começou a se normalizar.

A equipe do KelpDAO pausou todos os contratos de rsETH e está reescrevendo a ponte com LayerZero. O LayerZero anunciou que cancelou todas as configurações de validador único e parou a assinatura de mensagens.

Então, qual é a situação do rsETH agora?

O token ainda não lastreia ETH um-para-um. Está sendo negociado com um desconto de 6-8% no mercado. O Aave ainda não decidiu se socializará a perda. Três opções estão em discussão:

Cobertura do tesouro do Aave
Transferir perdas para os detentores de rsETH
Recompra gradual com o pool DeFi United

A questão mais urgente para os usuários são os stablecoins bloqueados. O Aave afirma que as retiradas de USDT/USDC serão abertas à medida que os pagamentos dos tomadores de empréstimos acelerarem.

Qual é a lição?

O ataque de $292 milhões mostrou como uma única linha de erro de configuração pode apagar $14 bilhões de TVL do DeFi. Projetos de "infraestrutura" como o LayerZero agora são responsáveis não apenas pelo código, mas também pela segurança operacional.

Os dados mais recentes compartilhados sob a hashtag #rsETHAttackUpdate mostram que o pior da crise passou, mas a ferida não cicatrizou. O congelamento do Arbitrum salvou $71 milhões, o DeFi United arrecadou $100 milhões, mas ainda há um déficit de $120 milhões.

Para o setor, este é o maior "teste de confiança" desde a queda do Terra em 2022. Se o Aave absorver o dano, a narrativa de "código é lei" do DeFi dará lugar a uma narrativa de "seguro comunitário". Se não, começará um processo legal prolongado entre os detentores de rsETH e os depositantes do Aave.

O ataque, que começou há uma semana, agora é um problema não apenas para o KelpDAO, mas para todo o ecossistema de restaking.