La estabilidad de DeFi se sacudió cuando Aave se tambaleó al borde de un enorme golpe de $ 230 millones luego de la violación de seguridad de Kelp DAO
El exploit del puente Kelp DAO y LayerZero que ocurrió durante el fin de semana ha dejado al protocolo de préstamos Aave enfrentando pérdidas potenciales de hasta $230 millones, dependiendo de cómo se resuelva la situación.
El incidente, según un informe de Aave Labs y el proveedor de servicios LlamaRisk publicado en el foro de gobernanza de Aave, se centra en rsETH, un token de recuperación líquido emitido por KelpDAO. Para mover rsETH entre cadenas de bloques, el protocolo se basa en un mecanismo puente que bloquea los tokens en una cadena mientras emite las copias correspondientes en otra.
Un atacante aprovechó esa configuración falsificando un mensaje de transferencia que parecía válido. El sistema aprobó la transferencia a pesar de que los tokens nunca se sacaron de la cadena de envío, lo que significa que se crearon efectivamente nuevos tokens sin respaldo, liberando 116,500 rsETH del puente del lado de Ethereum.
En lugar de vender los activos en el mercado abierto, el atacante depositó 89,567 rsETH en Aave como garantía y tomó prestados aproximadamente $190 millones en $ETH y activos relacionados en Ethereum y Arbitrum, según el informe. Esto dejó a Aave expuesta a garantías cuyo respaldo puede verse significativamente afectado.
Aave Labs dijo que actuó rápidamente para contener el riesgo. En cuestión de horas, el protocolo congeló los mercados de rsETH en todas sus implementaciones, estableció la relación préstamo-valor en cero y detuvo nuevos préstamos contra el activo.
El resultado ahora depende en gran medida de cómo Kelp maneje el déficit. Si las pérdidas se distribuyen entre todos los titulares de rsETH, el token enfrentaría una desvinculación estimada del 15% (lo que significa que el valor de los tokens apostados no coincidiría con el valor de $ETH real), lo que resultaría en alrededor de $124 millones en deudas incobrables para Aave. Si las pérdidas se limitan a las redes de Capa 2, el impacto sería mucho más severo, con deudas incobrables que ascenderían a aproximadamente 230 millones de dólares y se concentrarían en redes como Arbitrum y Mantle.
El exploit surgió de debilidades en la forma en que Kelp verificaba los mensajes entre cadenas utilizando LayerZero. Al manipular este proceso, el atacante pudo hacer que ciertos activos parecieran completamente respaldados cuando no lo estaban, lo que les permitió extraer valor del sistema. LayerZero en sí no fue pirateado directamente, pero su capa de mensajería expuso suposiciones erróneas sobre cómo Kelp validó los datos entre cadenas.
El incidente generó preocupación de que algunas posiciones en Aave estuvieran respaldadas por garantías con precios incorrectos o que ya no estuvieran completamente respaldadas, lo que aumentaba el riesgo de préstamos con garantía insuficiente.
En respuesta, los usuarios tomaron medidas para reducir la exposición. Alrededor de 6 mil millones de dólares en valor total bloqueado fueron retirados de Aave después del incidente, lo que refleja un amplio retroceso a medida que los participantes reaccionaron a la incertidumbre.
El episodio puso de relieve su exposición indirecta a sistemas externos. El impacto se sintió a través de un mayor riesgo de garantía, presión sobre las posiciones crediticias y una fuerte caída de los depósitos a medida que los usuarios reevaluaban la seguridad de la infraestructura DeFi interconectada.
El informe dice que su tesorería de DAO tiene aproximadamente $181 millones en activos y que se están llevando a cabo conversaciones con los participantes del ecosistema para abordar posibles pérdidas. Kelp aún no ha descrito cómo planea distribuir las pérdidas, lo que deja incierta la exposición final de Aave a medida que la situación continúa evolucionando.
Leer más: Kelp DAO afirma que la configuración 'predeterminada' de LayerZero es lo que realmente causó el enorme desastre de 290 millones de dólares