Un aumento de 300 millones de dólares en el endeudamiento de Aave indica una crisis de liquidez tras un exploit
Las réplicas del hackeo de KelpDAO del sábado se están extendiendo a través de los mercados de monedas estables de maneras que no fueron inmediatamente obvias.
En las primeras 24 horas posteriores al ataque, los usuarios de Aave pidieron prestados aproximadamente $ 300 millones contra sus depósitos de moneda estable en la plataforma, según datos de Chaos Labs.
El aumento del endeudamiento no es una señal de demanda; es una señal que los usuarios no pueden retirarse. Con los fondos de monedas estables al máximo, los depositantes están tomando préstamos con pérdidas contra sus propios fondos solo para acceder a la liquidez.
Piénselo de esta manera: imagine un banco que se niega a procesar las solicitudes de retiro de depósitos fiduciarios de los clientes. Entonces, por desesperación, los clientes piden préstamos sobre estos depósitos. Esta creación de crédito no es saludable, sino una medida desesperada en busca de liquidez.
"Ahora estamos viendo algunos efectos secundarios negativos de la iliquidez en los mercados de monedas estables de Aave", dijo monetsupply.eth, el jefe de estrategia seudónimo de Spark, una plataforma rival de préstamos DeFi. "Debido a que los usuarios no pueden retirar debido a la utilización del 100%, ha habido un aumento de ~$300 millones en préstamos con garantía de $USDT tan solo el último día desde el exploit rsETH".
Para comprender cómo un solo exploit en KelpDAO terminó bloqueando todas las salidas de stablecoins en Aave simultáneamente, es necesario comprender cómo se supone que funciona el sistema y exactamente dónde se rompió.
¿Qué es Aave y cómo se supone que funciona?
Aave es un protocolo de finanzas descentralizadas (DeFi) que permite a los usuarios prestar y pedir prestado criptomonedas sin intermediarios. Piense en ello como un banco, excepto que funciona completamente con código en una cadena de bloques pública, sin guardianes humanos.
Los usuarios depositan activos en grupos de préstamos y ganan intereses. Otros piden prestado de esos mismos fondos publicando criptoactivos como garantía, lo que excede el monto del préstamo. El sistema está diseñado para autocorregirse automáticamente a través de las tasas de interés. Cuando mucha gente quiere pedir prestado, las tasas suben, lo que encarece el endeudamiento y anima a los prestamistas a depositar más. Cuando la demanda cae, las tarifas bajan.
Todo el sistema opera sobre un supuesto central: que siempre hay suficiente liquidez (suficientes activos en el fondo común) para que los prestamistas retiren sus depósitos cuando lo deseen y para que los prestatarios renueven sus posiciones cuando lo necesiten.
Cuando esa suposición se derrumba, todo lo demás se derrumba con ella. Eso es lo que pasó después del exploit KelpDAO.
rsETH y el exploit KelpDAO
rsETH es un token de éter líquido que se vuelve a apostar emitido por KelpDAO.
Cuando apuestas ether ($ETH), lo bloqueas para ayudar a proteger la red Ethereum a cambio de un rendimiento, similar a ganar intereses sobre un bono. Algunos protocolos emiten un token de participación líquida (LST) que representa el $ETH apostado.
Volver a apostar va un paso más allá, reutilizando esos activos ya apostados para asegurar sistemas adicionales, acumulando efectivamente rendimiento sobre rendimiento. A cambio, recibirá una ficha de recibo que representa su posición. rsETH es uno de esos tokens de recibo y se ha utilizado ampliamente como garantía en todo el mundo DeFi.
El 18 de abril, un atacante manipuló la infraestructura puente de KelpDAO para liberar 116.500 rsETH, aproximadamente el 18% del suministro circulante del token, con un valor aproximado de 292 millones de dólares. Estos tokens falsos y sin respaldo se depositaron inmediatamente en protocolos de préstamos, principalmente Aave, para pedir prestado $ETH real y otros activos como éter envuelto (wETH) contra ellos. Entradas de tokens falsos, salida de dinero real.
"Ese WETH [prestado] se ha ido. El rsETH que mantiene su lugar en las bóvedas vale lo que vale un reclamo sin respaldo: acercándose a cero en el lado L2, donde más de 20 cadenas mantenían rsETH puenteado respaldado por una caja de seguridad de la red principal ahora vacía", dijo 0xyanshu, un operador de criptografía seudónimo conocido por trabajar en torno a las finanzas y el riesgo en cadena.
Aave congeló los mercados rsETH en V3 y V4 en cuestión de horas, y el fundador Stani Kulechov afirmó que el exploit era externo y que los contratos de Aave no se vieron comprometidos. Ese congelamiento detuvo la hemorragia. Pero también desencadenó la reacción en cadena que produjo el aumento del endeudamiento de 300 millones de dólares.
Cómo se materializaron 300 millones de dólares en préstamos en un solo día
Cuando se supo la noticia del exploit, las ballenas y los grandes fondos retiraron miles de millones de dólares en criptomonedas de los fondos de liquidez de Aave en cuestión de horas. Como fueron los primeros en actuar y en gran número, sus retiros agotaron los fondos de liquidez.
"Cuando ocurrió el exploit rsETH y $AAVE incurrió en deudas incobrables, ballenas como Justin Sun, MEXC Exchange y otros inmediatamente retiraron miles de millones de $AAVE", dijo el analista Duo Nine en una explicación. "Inicialmente, el mercado de $ETH alcanzó el 100% de utilización, lo que significa que no podías retirar tu $ETH de $AAVE".
Esto pronto se extendió a los grupos de $USDT y $USDC, elevando sus tasas de utilización al 100%, ya que más de $6 mil millones en activos abandonaron el protocolo en cuestión de horas. Cada grupo de préstamos posee una cantidad fija de activos depositados por los usuarios. Cuando se ha tomado prestado cada dólar de esos activos, no queda nada para retirar.
"Eso se debe a que $AAVE perdió más de $6 mil millones de dólares en liquidez en las últimas 24 horas", escribió Duo Nine. "Cuando las ballenas sacaron su dinero, $USDT a