O exploit de US$ 292 milhões da Kelp DAO desencadeou uma onda de reações em toda a indústria cripto, com desenvolvedores e traders alertando que o incidente expôs falhas profundas na forma como as finanças descentralizadas (DeFi) são construídas.
Dados compartilhados por participantes do mercado mostram que as consequências imediatas se espalharam muito além do protocolo hackeado.
“O hack do rsETH está levando a saques em todos os protocolos de empréstimo, inclusive na Solana e em protocolos não afetados”, disse 0xngmi em uma postagem no domingo, apontando para saídas acentuadas, incluindo “Aave: -6.200m (-23%) de fluxos líquidos” e quedas menores, mas notáveis, em Morpho, Sky e JupLend. O rsETH é o ether de restaking líquido do protocolo Kelp DAO e é um Liquid Restaking Token (LRT) que permite aos usuários ganhar recompensas de staking e restaking de ether enquanto mantêm seus ativos líquidos, mesmo quando estão bloqueados no staking.
Essa pressão rapidamente se transformou em algo mais grave. Uma postagem amplamente divulgada por Josu San Martin descreveu o estresse de liquidez em cascata dentro dos mercados de empréstimo: “Os depositantes de ETH não conseguem sacar o ETH, então estão tomando empréstimos de stablecoins para ‘sacar’ fundos... Isso é uma corrida total contra a AAVE.”
Embora Stani Kulechov, fundador da Aave, tenha dito que o exploit foi externo e que os contratos do protocolo não foram comprometidos, os depositantes entraram em pânico. O valor total bloqueado (ou depósitos) caiu de US$ 26,4 bilhões em 18 de abril para quase US$ 20 bilhões nas horas da manhã de domingo nos EUA, de acordo com a DefiLlama. O token AAVE também caiu mais de 18% enquanto os depositantes corriam para sacar seu dinheiro durante o fim de semana.
O exploit em si tornou-se um ponto focal para engenheiros e desenvolvedores.
Vários desenvolvedores rebateram suposições iniciais de que o problema vinha da infraestrutura central. “O exploit da KelpDAO (~US$ 290 milhões) NÃO é um bug do protocolo LayerZero. É um problema de configuração e um estudo de caso que todo projeto com um token cross-chain precisa analisar hoje”, dizia uma análise técnica da cryptogoblin.
A thread detalhou como um único ponto de verificação permitiu o ataque. “Uma assinatura e 116.500 rsETH materializaram-se do nada na Ethereum”, dizia a postagem, descrevendo um sistema onde “os contratos [inteligentes] não foram quebrados. A camada de verificação foi”, afirmou a postagem.
Outros argumentaram que o problema é mais profundo do que uma única escolha de configuração.
Uma crítica, feita por Fishy Catfish no X, enquadrou o caso como uma falha de design, alegando que: “não há um piso de segurança... Uma configuração pode ser um DVN 1/1 e o DVN que você escolheu pode ser um único nó operado por uma única entidade”. Um DVN (Decentralized Verifier Network) em DeFi, especificamente dentro da LayerZero V2, é uma entidade independente responsável por validar e atestar a autenticidade das mensagens enviadas entre diferentes redes blockchain. Essencialmente, os DVNs verificam os hashes das mensagens entre uma cadeia de origem e uma cadeia de destino.
Para tornar o ponto mais claro, o autor traçou uma comparação com o mundo real: “imagine se um fabricante de montanhas-russas permitisse que os parques de diversões decidissem individualmente quais seriam as especificações mínimas de segurança”. Essencialmente, o autor está simplesmente dizendo que a flexibilidade sem salvaguardas pode criar riscos ocultos.
A postagem chegou a afirmar que a configuração era o problema dentro do design. "Pessoalmente, acho que este é um design falho. A segurança modular é um espaço de design que vale a pena, no entanto, a gama de segurança deveria ter um piso de segurança nativo que fosse bastante forte e, então, permitir camadas adicionais de segurança por cima disso para casos de uso de maior valor."
Não foi apenas o valor e a complexidade do exploit que atraíram as críticas duras e em pânico. A escala do exploit aumentou as preocupações.
Aproximadamente 116.500 rsETH, cerca de 18% do suprimento, foram afetados. O invasor enganou a camada de mensagens cross-chain da LayerZero para acreditar que uma instrução válida havia chegado de outra rede, o que acionou a ponte da Kelp para liberar 116.500 rsETH para um endereço controlado pelo invasor.
Os protocolos responderam congelando mercados e pausando funcionalidades. Aave interrompeu a atividade de rsETH. Lido pausou os depósitos vinculados ao ativo. Outros projetos tomaram medidas semelhantes para limitar a exposição conforme a situação se desenrolava.
Além do debate técnico, o sentimento em todo o setor cripto tornou-se fortemente negativo. Uma postagem talvez tenha capturado a mudança de humor em termos diretos: “DeFi está morto... ‘apenas use aave’ está morto”, acrescentando que “A era cripto acabou” e perguntando: “Se você está lendo isso — por que ainda está em cripto?”
Embora a resposta possa parecer um exagero, esse tipo de reação instintiva não é incomum após grandes exploits, mas