O provedor de gestão de risco da plataforma de empréstimos descentralizados Aave descreveu dois cenários sobre como a dívida ruim resultante do exploit da Kelp DAO no fim de semana pode impactar o ecossistema, dependendo de como as perdas forem distribuídas.
O incidente começou no sábado, quando hackers roubaram 116.500 tokens Kelp DAO Restaked ETH (rsETH), avaliados em US$ 293 milhões, da bridge da Kelp DAO baseada em LayerZero e os usaram como colateral na Aave V3 para tomar empréstimos em wrapped Ether (wETH).
Na segunda-feira, a LlamaRisk modelou dois cenários possíveis para como essa “dívida ruim” poderia se materializar na Aave, observando que a decisão final cabe à Kelp DAO.
O incidente destaca o risco de contágio no DeFi, onde um único exploit em uma bridge pode desencadear crises de liquidez e saques em massa em protocolos interconectados como a Aave, que já viu cerca de US$ 10 bilhões em valor saírem do protocolo desde o ataque.
Dois cenários e possíveis caminhos
O primeiro cenário prevê que as perdas sejam distribuídas entre todos os holders de rsETH na mainnet do Ethereum e nas soluções de camada 2, resultando em aproximadamente US$ 123,7 milhões de dívida ruim na Aave, mas com risco de um depeg de 15% do rsETH em relação ao Ether (ETH).
A LlamaRisk afirmou que esse cenário diluiria as perdas entre todas as redes, destacando que o wrapped Ether (wETH) “absorveria a maior parte em termos absolutos, mas quase não perceberia isso em relação à profundidade de suas reservas.”
A Aave também poderia usar seu modelo de segurança Umbrella para cobrir perdas em wETH nesse cenário, observando que 18.922 tokens Aave Wrapped ETH (aWETH), avaliados em cerca de US$ 43,7 milhões, entraram na fase de cooldown para unstaking.
O segundo cenário transferiria todo o déficit para redes de camada 2 do Ethereum, como Arbitrum e Mantle. No entanto, a dívida ruim seria significativamente maior, chegando a US$ 230,1 milhões.
A LlamaRisk também destacou que a Aave possui cerca de US$ 181 milhões em seu tesouro, que poderiam ser utilizados para cobrir parte do déficit.
Na segunda-feira, a Kelp DAO disse que ainda está avaliando o impacto financeiro do exploit e como retomar o protocolo com segurança, acrescentando que está trabalhando com a Aave, LayerZero e outros stakeholders para definir um caminho a seguir.
Kelp DAO detalha mais o exploit
A Kelp DAO também compartilhou mais detalhes sobre o incidente, afirmando que dois nós ligados à bridge da LayerZero foram comprometidos, enquanto um terceiro sofreu um ataque de negação de serviço distribuído (DDoS).
O invasor forjou uma mensagem de transferência aparentemente válida que o sistema aprovou, permitindo a emissão de 116.500 rsETH em uma das bridges da LayerZero.
A Kelp informou que pausou todos os contratos relevantes no Ethereum e nas camadas 2, além de colocar em blacklist todas as carteiras ligadas ao atacante logo após o incidente, impedindo o roubo adicional de 40.000 rsETH (cerca de US$ 95 milhões).
