Kelp DAO refuta críticas do LayerZero, perdas incobráveis do Aave chegam a US$ 230 milhões

O Kelp DAO emitiu um comunicado em 21 de abril para refutar as críticas da LayerZero à sua configuração 1/1 DVN e atribuir a responsabilidade fundamental pelo bug de US$ 292 milhões à infraestrutura da LayerZero. A Aave publicou um relatório de avaliação de impacto de eventos: no cenário de perdas distribuídas de forma uniforme, cerca de US$ 124 milhões; no cenário em que as perdas se concentram no L2, o valor máximo pode chegar a US$ 230 milhões.

A refutação do Kelp DAO: configuração padrão de DVN e o alvo do ataque são a infraestrutura da LayerZero

A LayerZero havia criticado, em seu relatório do incidente, o fato de o Kelp DAO adotar uma configuração 1/1 DVN que cria um ponto único de falha, e afirmou que antes já havia enviado ao Kelp DAO recomendações de melhores práticas para validação distribuída. O Kelp DAO respondeu diretamente: “A configuração 1 por 1 do DVN é a configuração padrão registrada na documentação da LayerZero, aplicável a todas as novas implantações de OFT. Desde janeiro de 2024, o Kelp vem operando na infraestrutura da LayerZero, e essa configuração foi confirmada de forma explícita como adequada durante a expansão para o L2.”

O Kelp DAO também apontou que suas medidas impediram efetivamente perdas adicionais — pausando todos os contratos relacionados, colocando carteiras associadas ao atacante na lista negra e entrando em contato com o SEAL-911. Essas medidas tiveram sucesso ao impedir a tentativa do atacante de roubar mais 40.000 rsETH (cerca de US$ 95 milhões) por meio da falsificação de pacotes de dados.

Análise de perdas incobráveis na Aave: dois cenários, chegando a US$ 230 milhões

(Fonte: Aave)

O atacante forneceu 89.567 rsETH (aprox. US$ 221 milhões) como garantia para o Aave V3, tomou emprestados 82.650 WETH e 821 wstETH, fazendo com que os coeficientes de saúde das posições relevantes ficassem extremamente baixos. A Aave avaliou dois cenários de hipótese:

Cenário um (distribuição uniforme): perdas de aproximadamente 112.204 rsETH distribuídas de forma uniforme em todas as cadeias; rsETH desancorou 15,12%; a perda incobrável geral da Aave foi de cerca de US$ 123,7 milhões. O mercado central da Ethereum teve a maior perda absoluta (US$ 91,8 milhões), mas havia reservas de WETH suficientes, com uma lacuna de apenas 1,54%; a proporção de lacuna no mercado de Mantle foi a mais alta, chegando a 9,54%.

Cenário dois (perdas concentradas no L2): as perdas se concentraram em rsETH no L2; a garantia no L2 foi reduzida em 73,54%; as perdas incobráveis do mercado de L2 (Mantle, Arbitrum, Base) chegaram a US$ 230,1 milhões, enquanto os rsETH da mainnet da Ethereum ficaram totalmente amparados.

A Aave observou: “Qual cenário acontece depende do modo como o Kelp trata contabilmente os rsETH e de como a atualização das taxas do LRTOracle é feita — e essa é uma decisão que a Aave não consegue controlar”.

Buffer de capital da Aave e planos futuros

No cenário um, o fundo WETH Umbrella de US$ 54 milhões mantido pela Aave pode ser usado como garantia inicial; no cenário dois, esse fundo não seria acionado. A Aave DAO atualmente detém ativos de US$ 181 milhões e já recebeu múltiplos compromissos de suporte de participantes do ecossistema em caso de perdas incobráveis. O Kelp DAO afirmou que está trabalhando em conjunto com a Aave, a LayerZero e todos os principais stakeholders para avaliar, em paralelo, os próximos passos para a retomada da operação do protocolo e potenciais soluções de mitigação.

Perguntas frequentes

Qual é o cerne da disputa sobre responsabilidades entre o Kelp DAO e a LayerZero?

A controvérsia se concentra na configuração 1/1 DVN. A LayerZero acredita que a configuração do Kelp DAO com apenas um DVN cria um ponto único de falha e que antes já havia fornecido recomendações de segurança. O Kelp DAO rebate que o 1/1 DVN é a configuração padrão da LayerZero para todas as novas implantações e que durante a expansão para o L2 isso já foi confirmado como adequado pela própria LayerZero; a verdadeira brecha de segurança está no fato de que os próprios nós RPC da LayerZero foram comprometidos.

Como os dois cenários de perdas incobráveis da Aave foram calculados?

O cenário um assume perdas de aproximadamente 112.204 rsETH distribuídas de forma uniforme em todas as cadeias; rsETH desancorou 15,12%, o que corresponde a cerca de US$ 123,7 milhões de perdas incobráveis na Aave. O cenário dois assume perdas concentradas no L2: a garantia de rsETH no L2 foi reduzida em 73,54%, e as perdas incobráveis do mercado de L2 atingiram US$ 230,1 milhões. A principal divergência entre os dois cenários está em como o Kelp acaba alocando a responsabilidade pelas perdas.

Quais recursos de capital a Aave tem para lidar com possíveis perdas incobráveis?

A Aave tem um fundo WETH Umbrella de US$ 54 milhões (disponível no cenário um), ativos da Aave DAO de US$ 181 milhões e vários compromissos de suporte de participantes do ecossistema. Se as perdas incobráveis excederem a margem acima, de acordo com o desenho do módulo de segurança da Aave, os detentores de stkAAVE podem ter seus tokens de staking usados para fornecer proteção contra a lacuna remanescente por meio do mecanismo de Slashing.