A exploração de US$ 292 milhões do Kelp DAO desencadeou uma onda de reações em toda a indústria de criptografia, com desenvolvedores e comerciantes alertando que o incidente expôs falhas mais profundas na forma como as finanças descentralizadas (DeFi) são construídas.
Os dados partilhados pelos participantes no mercado mostram que as consequências imediatas se espalham muito além do protocolo hackeado.
“O hack do rsETH está levando a retiradas em todos os protocolos de empréstimo, mesmo em protocolos solana e não afetados”, disse 0xngmi em um post no domingo, apontando para saídas acentuadas, incluindo “Aave: -6.200 milhões (-23%) entradas líquidas” e quedas menores, mas notáveis, em Morpho, Sky e JupLend. rsETH é o éter reestado do protocolo de reestabelecimento líquido Kelp DAO e é um Token de Reestado Líquido (LRT) que permite aos usuários ganhar staking de éter e recompensas de reesquecimento enquanto mantêm seus ativos líquidos, mesmo quando estão bloqueados no staking.
Essa pressão rapidamente se transformou em algo mais severo. Uma postagem amplamente divulgada de Josu San Martin descreveu o estresse de liquidez em cascata dentro dos mercados de empréstimos: “Os depositantes de ETH não podem sacar o ETH, então eles estão tomando empréstimos de estábulos para ‘sacar’ fundos… Esta é uma corrida total ao AAVE.”
Embora Stani Kulechov, fundador da Aave, tenha dito que a exploração era externa e que os contratos do protocolo não foram comprometidos, os depositantes entraram em pânico. O valor total bloqueado (ou depósitos) caiu de US$ 26,4 bilhões em 18 de abril para quase US$ 20 bilhões nas horas da manhã de domingo nos EUA, por DefiLlama. O token AAVE também caiu mais de 18%, à medida que os depositantes lutavam para sacar seu dinheiro durante o fim de semana.
Um ‘estudo de caso’
A exploração em si tornou-se um ponto focal para engenheiros e desenvolvedores.
Vários desenvolvedores rejeitaram as suposições iniciais de que o problema se originava da infraestrutura principal. “O exploit KelpDAO (~US$ 290 milhões, NÃO é um bug do protocolo LayerZero. É um problema de configuração e um estudo de caso que todo projeto com um token de cadeia cruzada precisa analisar hoje”, dizia um detalhamento técnico do cryptogoblin.
O tópico detalhou como um único ponto de verificação permitiu o ataque. “Uma assinatura e 116.500 rsETH se materializaram do nada no Ethereum”, dizia o post, descrevendo um sistema onde “os contratos (inteligentes) não foram quebrados. A camada de verificação foi”, afirmou o post.
Outros argumentaram que o problema é mais profundo do que uma única escolha de configuração.
Um crítico, conhecido como Fishy Catfish no X, enquadrou-o como uma falha de design, alegando que: “não há piso de segurança… Uma configuração pode ser um DVN 1/1 e o DVN que você escolheu pode ser um único nó executado por uma única entidade”. Uma DVN (Rede Verificadora Descentralizada) em DeFi, especificamente dentro do LayerZero V2, é uma entidade independente responsável por validar e atestar a autenticidade das mensagens enviadas através de diferentes redes blockchain. Essencialmente, os DVNs verificam os hashes de mensagens entre uma cadeia de origem e uma cadeia de destino.
Para deixar o ponto mais claro, o autor fez uma comparação com o mundo real: “imagine se um fabricante de montanhas-russas permitisse que os parques de diversões decidissem individualmente quais seriam as especificações mínimas de segurança”. Essencialmente, o autor está simplesmente dizendo que a flexibilidade sem barreiras de proteção pode criar riscos ocultos.
A postagem chegou ao ponto de afirmar que a configuração era o problema do design. “Pessoalmente, acho que este é um design falho. A segurança modular é um espaço de design que vale a pena, no entanto, a gama de segurança deve ter um piso de segurança nativo que seja bastante forte e, em seguida, permitir camadas *adicionais* de segurança além disso para casos de uso de mais alto valor.”
‘DeFi está morto’
Não foi apenas a quantidade e a complexidade da exploração que atraiu críticas duras e de pânico. A escala da exploração aumentou as preocupações.
Aproximadamente 116.500 rsETH, cerca de 18% da oferta, foram afetados. O invasor enganou a camada de mensagens cross-chain do LayerZero fazendo-a acreditar que uma instrução válida havia chegado de outra rede, o que acionou a ponte de Kelp para liberar 116.500 rsETH para um endereço controlado pelo invasor.
Os protocolos responderam congelando os mercados e pausando recursos. Aave interrompeu a atividade do rsETH. Lido pausou os depósitos vinculados ao ativo. Outros projetos tomaram medidas semelhantes para limitar a exposição à medida que a situação se desenrolava.
Além do debate técnico, o sentimento em relação à criptografia tornou-se fortemente negativo. Uma postagem talvez tenha capturado a mudança de humor em termos contundentes: “DeFi está morto… ‘basta usar aave’ está morto”, acrescentando que “A era da criptografia acabou” e perguntando: “Se você está lendo isso – por que ainda está na criptografia?”
Embora a resposta possa parecer uma reação exagerada, esse tipo de reação instintiva não é incomum após grandes explorações, mas a amplitude deste evento se destaca.
O ataque afetou a infraestrutura entre cadeias, refazendo modelos e mercados de empréstimos simultaneamente. Também segue uma série de incidentes recentes. O hack atinge um nível incomumente hostil para o DeFi, especialmente este mês. O protocolo perpétuo baseado em Solana, Drift, foi drenado em cerca de US$ 285 milhões em 1º de abril, em um ataque posteriormente vinculado a atores afiliados à Coreia do Norte, e pelo menos uma dúzia de protocolos menores foram explorados nas semanas seguintes, incluindo CoW Swap, Zerion, Rhea Finance e Silo Finance.
‘Verifique suas configurações’
Apesar de todas as explicações, ainda há mais perguntas do que respostas. Por exemplo, como é que isto aconteceu e qual a profundidade deste contágio?
Parece que todos os outros, até mesmo o LayerZero, ainda estão tentando descobrir todos os detalhes da exploração.
“Estamos totalmente cientes da exploração do rsETH e estamos em remediação ativa com a equipe @KelpDAO desde o incidente e continuamos monitorando. Todos os outros aplicativos permanecem seguros”, disse LayerZero em um post no X. “Ainda estamos identificando a causa raiz junto com @_SEAL_Org e outros. Publicaremos uma autópsia completa com @KelpDAO assim que tivermos todas as informações.”
KelpDAO ecoou esse sentimento. “Hoje cedo identificamos atividades suspeitas entre cadeias envolvendo rsETH. Pausamos os contratos rsETH na rede principal e em vários L2s enquanto investigamos. Estamos trabalhando com @LayerZero_Core, @unichain, nossos auditores e os principais especialistas em segurança na RCA. Manteremos vocês informados à medida que aprendermos mais sobre esta situação.”
As respostas servem apenas para mostrar quão complexa é a situação e quão generalizada pode ser.
Até Justin Sun entrou na conversa para impedir o contágio. “OK – hacker Kelpdao, quanto você quer? Vamos apenas conversar. Com a ajuda do KelpDAO, é claro. Simplesmente não vale a pena sacrificar Aave e KelpDAO e deixá-los cair por causa desse hack. Você não pode gastar US$ 300 milhões de qualquer maneira”, disse ele em um post no X.
Ainda assim, alguns desenvolvedores veem uma lição mais clara no caos.
A exploração não dependia da quebra de criptografia ou do desvio de contratos inteligentes. Em vez disso, expôs como os sistemas podem se tornar frágeis quando dependem de suposições em camadas.
Em termos simples, as ferramentas funcionaram conforme planejado. A forma como foram configurados não.
Essa distinção pode moldar o que vem a seguir. Os construtores agora estão incentivando os projetos a revisarem suas configurações, especialmente aqueles que dependem de mensagens entre cadeias.
Como o cryptogoblin disse sem rodeios: “Verifique suas configurações. Fique seguro lá fora.”
Leia mais: Os rendimentos do DeFi estão caindo tanto que não conseguem competir com uma conta poupança tradicional
Fontecoindesk
