La plataforma de préstamos descentralizada Aave, a través de su proveedor de gestión de riesgos, ha detallado dos escenarios sobre cómo la deuda mala generada por el exploit de Kelp DAO durante el fin de semana podría impactar en el ecosistema, dependiendo de cómo se asignen las pérdidas.
El incidente comenzó el sábado cuando los hackers robaron 116.500 tokens Kelp DAO Restaked ETH (rsETH) valorados en 293 millones de dólares de Kelp DAO’s bridge impulsado por LayerZero y los utilizaron como garantía en Aave V3 para pedir prestado Ether envuelto (wETH).
El lunes, LlamaRisk modeló dos posibles escenarios para cómo esta “deuda mala” podría materializarse en Aave, señalando que la decisión final depende de Kelp DAO.
El incidente resalta el riesgo de contagio en DeFi, donde un solo exploit de bridge puede desencadenar crisis de liquidez y retiros masivos en protocolos interconectados como Aave, que ha visto casi 10.000 millones de dólares en valor abandonar el protocolo desde que tuvo lugar el exploit de Kelp DAO.
Dos escenarios y posibles caminos adelante
El primer escenario vería las pérdidas distribuidas entre todos los titulares de tokens rsETH en la red principal de Ethereum y en las capas 2 de Ethereum, lo que resultaría en aproximadamente 123,7 millones de dólares de deuda mala en Aave, mientras se arriesga una desvinculación del 15% en rsETH en relación con Ether (ETH).
LlamaRisk dijo que este primer escenario distribuiría las pérdidas más delgadas a través de todas las cadenas, mientras señalaba que el Ether envuelto (wETH) “absorbería la mayor parte en términos absolutos pero apenas lo notaría en relación con su profundidad de reserva”.
Aave también podría usar su modelo de seguridad Umbrella para cubrir pérdidas en wETH bajo el primer escenario, señalando que 18.922 tokens Aave Wrapped ETH (aWETH) valorados en casi 43,7 millones de dólares han entrado en la fase de enfriamiento de unstaking.
El segundo escenario trasladaría todo el déficit a las redes de capa 2 de Ethereum, como Arbitrum y Mantle. Sin embargo, la deuda mala sería significativamente mayor, en 230,1 millones de dólares.
LlamaRisk también señaló que Aave tiene alrededor de 181 millones de dólares en su tesorería que podrían usarse para abordar un posible déficit de deuda mala.
El lunes, Kelp DAO dijo que todavía está evaluando el impacto financiero del exploit y cómo descongelar el protocolo de manera segura, agregando que está trabajando con Aave, LayerZero y otros interesados en un camino adelante.
Kelp DAO arroja más luz sobre el exploit
Kelp DAO también compartió más detalles sobre el incidente, diciendo que dos nodos vinculados al bridge de LayerZero fueron comprometidos, mientras que un tercero fue golpeado con un ataque de denegación de servicio distribuido.
El atacante forjó un mensaje de transferencia aparentemente válido que el sistema aprobó, lo que permitió que se acuñaran 116.500 rsETH en uno de los bridges de LayerZero.
Kelp dijo que pausó todos los contratos relevantes en Ethereum y en las capas 2 de Ethereum y bloqueó todas las billeteras vinculadas al explotador poco después, impidiendo que robaran otros 40.000 rsETH valorados en 95 millones de dólares.
