Por André Beganski
4 min lectura
Menos de un día después de que atacantes vaciaran $291 millones en criptomonedas de la infraestructura vinculada al proyecto de finanzas descentralizadas Kelp DAO, los usuarios de Aave, uno de los protocolos más probados de DeFi, tuvieron dificultades para retirar fondos en medio de una crisis de liquidez.
El sábado fue explotado un puente que normalmente permite a los usuarios mover un activo llamado rsETH de una red a otra, lo que llevó a Aave a congelar los mercados vinculados al token, que los atacantes habían utilizado para pedir prestados fondos de la plataforma, según señaló el protocolo de préstamos en una publicación de X.
Mientras tanto, Kelp DAO indicó en una publicación de X que había "pausado los contratos de rsETH" en la red principal de Ethereum y en varias redes de escalado de Capa 2 mientras investiga la actividad sospechosa.
La actividad de los atacantes en Aave hizo que la llamada tasa de utilización de un pool de préstamos principal se disparara al 100%, lo que indicó que los usuarios que previamente habían depositado Ethereum y Ethereum envuelto se quedaron con poca o ninguna liquidez para retirar, según mostraron los datos de Aavescan.
Una hora antes de que Aave bloqueara los mercados, la firma de seguridad blockchain PeckShield detectó una transacción que mostraba 116.500 rsETH, valorados en $291 millones en ese momento, fluyendo hacia una billetera nueva.
Los atacantes no huyeron con el rsETH que había sido liberado maliciosamente del puente. En cambio, utilizaron Aave para pedir prestados fondos regulares, generando una "deuda incobrable masiva", según afirmó Francesco Andreoli, jefe de relaciones con desarrolladores de Consensys y MetaMask, en una publicación de X. (Nota: Consensys es uno de los muchos inversores en Decrypt, que mantiene independencia editorial.)
El token de gobernanza de Aave cayó a $90,13 el domingo, una caída del 16% en el último día, según CoinGecko. Ethereum bajó un 2% a $2.300 en el mismo período.
A medida que los usuarios luchaban por retirar fondos de Aave, comenzaron a pedir préstamos en stablecoins contra sus depósitos, lo que tensó aún más la liquidez como señal de "efectos secundarios negativos", según sostuvo monetsupply.eth, el mejor conocido como jefe de estrategia del proyecto DeFi Spark, en una publicación de X.
El exploit de Kelp DAO y las consecuencias en Aave desencadenaron una masiva ola de retiros de varios protocolos DeFi, incluso de aquellos que no se vieron afectados, según 0xngmi, el mejor conocido como cofundador del proveedor de datos DefiLlama. En términos netos, los usuarios habían retirado $6.200 millones solo de Aave para el domingo por la mañana, según publicó en X.
Con el contagio aparentemente en expansión, el más reciente exploit de DeFi le da "mucha munición" a los críticos escépticos de los sistemas que buscan reemplazar a los intermediarios financieros tradicionales con código, según señaló Salman Banei, consejero general de Plume, una red enfocada en la tokenización, en una publicación de X.
Kelp DAO emite rsETH, un token de staking líquido que permite a los usuarios obtener recompensas de staking de Ethereum y de restaking en EigenLayer. Funciona como un "recibo" negociable para los depositantes de Kelp DAO. El puente de Kelp DAO fue construido sobre infraestructura diseñada por LayerZero, un protocolo que permite a las aplicaciones DeFi enviar mensajes y transferir activos entre blockchains.
Stacy Muur, una reconocida investigadora de blockchain, explicó en una publicación de X que el exploit parecía depender de un único punto de falla. Escribió que un mensaje "fantasma" utilizado por los atacantes básicamente engañó al puente de Kelp DAO para liberar rsETH en Ethereum sin eliminar una cantidad equivalente de tokens en circulación en Unichain, la Capa 2 de Ethereum.
Sin embargo, algunos observadores estaban ansiosos por encontrar un camino a seguir, entre ellos el empresario cripto y fundador de Tron, Justin Sun. Intentó negociar, argumentando que a los atacantes les resultaría difícil gastar los fondos robados.
"¿Cuánto [quieren]?", les preguntó en una publicación de X. "Simplemente no vale la pena sacrificar tanto a Aave como a Kelp DAO y dejar que caigan por este hackeo".
Decrypt-a-cookie
This website or its third-party tools use cookies. Cookie policy By clicking the accept button, you agree to the use of cookies.