DeFi vuelve a ser robado por 292 millones de dólares, ¿esto significa que incluso Aave ya no es seguro?

Nulo

Original | Odaily Planet Daily (@OdailyChina)

Autor | Azuma (@azuma_eth)

A las 8:00 p.m. hora de Beijing, el 19 de abril, la seguridad de DeFi vuelve a ser golpeada duramente.

Los datos en la cadena muestran que, alrededor de la 1:35 a.m. de esta mañana, el segundo protocolo de staking líquido más grande, Kelp DAO, basado en LayerZero, sufrió una supuesta explotación en su contrato puente rsETH, lo que resultó en una pérdida de 116,500 rsETH, valorados en aproximadamente 292 millones de dólares.

Siguiendo la pista de los registros en la cadena, la dirección del atacante recibió aproximadamente 1 ETH como fondos iniciales desde el protocolo de mezcla Tornado Cash unas 10 horas antes del incidente, y posteriormente esa dirección llamó a la función lzReceive en el contrato LayerZero EndpointV2, lo que activó el contrato puente de Kelp y transfirió 116,500 rsETH a otra dirección del atacante.

Unas dos horas y media después del incidente, el equipo oficial de Kelp DAO confirmó en X que habían sido atacados: “Esta mañana, detectamos una actividad sospechosa de cross-chain relacionada con rsETH. Durante la investigación, suspendimos los contratos de rsETH en la red principal y en varias Layer2. Nuestros auditores están colaborando con expertos en seguridad de LayerZero y Unichain para monitorear de cerca la situación. Les mantendremos informados a través de canales oficiales.”

Tras el incidente, varios proyectos DeFi y agencias de seguridad analizaron las causas del evento. D2 Finance, en análisis citado varias veces en la comunidad, señala que LayerZero Scan marcó esa fuente como Kelp DAO, lo que indica que el mensaje proviene del contrato legítimo desplegado por Kelp en su contraparte, y que esa ruta ya tenía 308 registros de nonce de mensajes. Por lo tanto, la causa raíz del ataque fue que la “llave privada de la cadena fuente fue comprometida”.

Steven Enamakel, desarrollador de TinyHumans AI, añadió que ese contrato solo está protegido por un conjunto de validadores 1/1 (DVN), lo que significa que si un solo validador envía una transacción errónea, puede desencadenar problemas.

Los hackers usan a Aave como vía de escape, lo que podría haber causado deudas incobrables

Dado que la liquidez de mercado de rsETH es limitada, los hackers optaron por usar protocolos de préstamo como Aave para escapar, colateralizando rsETH y tomando prestado wETH, que tiene mayor liquidez en transacciones.

La alerta de PeckShield muestra que, hasta las 4:30 a.m. de hoy, la dirección del atacante depositó los rsETH robados en protocolos de préstamo como Aave V3, Compound V3, Euler, y tomó en préstamo una gran cantidad de WETH, con una deuda total que supera los 236 millones de dólares — de los cuales, solo en Aave, la deuda alcanza 196 millones, en Compound 39.4 millones, y en Euler solo 840,000 dólares.

Tras el incidente, Aave congeló inmediatamente los mercados de rsETH en Aave V3 y V4. El equipo publicó posteriormente en X un comunicado: “Los contratos de Aave no han sido atacados; este incidente está relacionado con rsETH. La congelación de rsETH fue para evitar nuevos depósitos y préstamos colaterales durante la evaluación. Estamos revisando la información de préstamos en rsETH en Aave tras el ataque y compartiremos más detalles lo antes posible.”

Poco después del primer anuncio, Aave actualizó la información, añadiendo al final: “Si este protocolo acumula deudas incobrables debido a este incidente, exploraremos formas de cubrir el déficit.”

Hasta el momento, no está claro el monto exacto de las deudas incobrables causadas por este evento.

El director estratégico de la competencia directa de Aave, Spark, monetsupply.eth, afirmó que si rsETH presenta un descuento del 19% (el monto robado representa el 19% del suministro total de rsETH), Aave podría tener pérdidas superiores a 100 millones de dólares, debido a un ciclo de préstamos con apalancamiento alto.

Sin embargo, Marc Zeller, fundador del equipo de gobernanza representativo de Aave, Aave Chan Initiative (que anunció que dejará Aave en julio por diferencias en la gobernanza), tiene una opinión diferente. Zeller sugirió inicialmente a los usuarios retirar WETH de Aave V3 para evitar pérdidas, y confirmó que los mercados de USDC y USDT en Aave no se vieron afectados. Cuando un usuario preguntó si las deudas incobrables podrían llegar a miles de millones, Zeller respondió: “Mucho menos que esa cifra.”

Pero Zeller también mencionó que ahora es momento de probar Umbrella en un entorno de producción real. Umbrella, que es el módulo de seguridad automática de Aave, funciona como un fondo para hacer frente a deudas incobrables, en el que los usuarios pueden depositar activos para obtener incentivos elevados, pero en caso de que la plataforma tenga deudas, ese fondo también debe absorber las pérdidas potenciales.

Los datos del protocolo Aave muestran que actualmente, Umbrella posee aproximadamente 50 millones de dólares en WETH para hacer frente a posibles deudas incobrables derivadas de este incidente, aunque no está claro si será suficiente para cubrir el agujero.

Por este evento, el precio de AAVE cayó casi un 10% a corto plazo, y al momento de redactar, se sitúa en 104.6 USDT.

Otra gran brecha de seguridad en abril

Este no es el primer incidente de gran magnitud en lo que va del mes.

El 1 de abril, el protocolo de derivados de Solana, Drift Protocol, sufrió un ataque que causó pérdidas de hasta 280 millones de dólares (ver “¿Broma del Día de los Inocentes? Drift Protocol fue robado por más de 280 millones de dólares, posiblemente el segundo mayor robo en DeFi en Solana”).

Tras el incidente, Drift Protocol culpó directamente a hackers norcoreanos, pero afortunadamente, instituciones como Tether prometieron inyectar 147.5 millones de dólares para compensar a los usuarios, brindando alguna esperanza de reclamación.

Solo unas semanas después, se produjo otro evento de mayor escala. ¿Cómo terminará esta vez?

¿Hay aún lugares seguros en DeFi?

Los problemas de seguridad en DeFi se están intensificando.

Por un lado, continúan los ataques de hackers, y por otro, amenazas de seguridad persistentes generadas por IA, como Mythos (ver “Entrevista de Odaily con Yu Xian: La filtración del nuevo modelo de nivel nuclear de Anthropic, ¿cómo afecta la seguridad y defensa en criptomonedas?”). Para los usuarios de DeFi, las medidas anteriores consistían en concentrar fondos en protocolos auditados y con buena reputación. Pero ahora, incluso los top como Aave, que en teoría son menos propensos a fallar, también están siendo afectados indirectamente. ¿A dónde pueden mover sus fondos los usuarios?

Personalmente, no recomiendo dejar grandes cantidades en la cadena en este momento. Si es necesario, asegúrese de diversificar y aislar sus posiciones.

Hasta el momento, muchos detalles sobre este incidente aún no están claros. Odaily continuará siguiendo el desarrollo de la situación, manténganse atentos.