Η παραβίαση ασφάλειας του KelpDAO προκάλεσε συστημικό κλονισμό στο πρωτόκολλο Aave

Μια κρίσιμη ευπάθεια στην υποδομή γέφυρας του πρωτοκόλλου KelpDAO οδήγησε σε έναν από τους σημαντικότερους κλυδωνισμούς ρευστότητας στην ιστορία του DeFi. Ο εισβολέας εκμεταλλεύτηκε ένα κενό ασφαλείας για να δημιουργήσει 116.500 πλαστά token rsETH, τα οποία αντιπροσωπεύουν περίπου το 18% της συνολικής προσφοράς.

Αυτά τα περιουσιακά στοιχεία χωρίς αντίκρισμα, με αγοραία αξία 292 εκατομμυρίων δολαρίων, κατατέθηκαν στη συνέχεια στο πρωτόκολλο Aave ως εγγύηση. Αυτό επέτρεψε στον εισβολέα να αποκτήσει πρόσβαση σε πραγματικά περιουσιακά στοιχεία υπό τη μορφή ETH, wETH και stablecoins, τα οποία αποσύρθηκαν αμέσως από το σύστημα.

Η απλή λογική «ψεύτικα tokens για πραγματικά χρήματα» προκάλεσε μια άμεση αλυσιδωτή αντίδραση. Ακολούθησε μια μαζική «τράπεζα» καθώς οι επενδυτές έσπευσαν να διασώσουν τα κεφάλαιά τους πριν το σύστημα εξαντλήσει τα διαθέσιμα μετρητά.

Σημαντικοί θεσμικοί παράγοντες, συμπεριλαμβανομένου του χρηματιστηρίου MEXC και του Justin Sun, άρχισαν να αποσύρουν τα περιουσιακά τους στοιχεία σε κατάσταση πανικού. Αυτό οδήγησε σε εκροή ρευστότητας από το Aave που ξεπέρασε τα 6 δισεκατομμύρια δολάρια σε μία μόνο ημέρα.

Αυτή η ταχεία ανάληψη προκάλεσε την απότομη αύξηση του ποσοστού χρησιμοποίησης των βασικών πισινών — ETH, USDT και USDC — στο κρίσιμο 100%. Σε εκείνο το σημείο, το σύστημα ουσιαστικά μπλοκάρισε και οι απλοί χρήστες έχασαν τη δυνατότητα να αποσύρουν τις καταθέσεις τους.

Σε μια προσπάθεια να αποκτήσουν πρόσβαση τουλάχιστον σε ένα μέρος των περιουσιακών τους στοιχείων, οι χρήστες στράφηκαν μαζικά σε μια δαπανηρή λύση έκτακτης ανάγκης. Άρχισαν να δανείζονται τα δικά τους χρήματα έναντι των παγωμένων καταθέσεών τους, απλώς για να αποκτήσουν κάποια μορφή ρευστών διαθεσίμων.

Αυτό το φαινόμενο οδήγησε σε μια ανώμαλη αύξηση του όγκου των δανείων κατά 300 εκατομμύρια δολάρια. Οι αναλυτές επισημαίνουν ότι αυτό δεν ήταν ένδειξη υγιούς πιστωτικής ζήτησης, αλλά σαφής δείκτης μιας κρίσης όπου οι χρήστες ουσιαστικά πληρώνουν τόκους για να έχουν πρόσβαση στις δικές τους αποταμιεύσεις.

Λόγω των ορίων Loan-to-Value (LTV) που είχαν οριστεί στο 75% περίπου, οι χρήστες μπορούσαν να δανειστούν μόνο ένα μέρος της αξίας των περιουσιακών τους στοιχείων. Σε αυτή την απελπισμένη αναζήτηση ρευστότητας, έπρεπε να αποδεχθούν άμεσες απώλειες που κυμαίνονταν από 10% έως 25%.

Η συστημική παράλυση εξαπλώθηκε σταδιακά και σε άλλες αγορές. Η ρευστότητα εξαντλήθηκε σε πισίνες για stablecoins όπως τα DAI, GHO και USDe, τα οποία κατέστησαν εντελώς μη διαθέσιμα σε διάφορες αγορές DeFi.

Αν και τα έξυπνα συμβόλαια της Aave δεν παραβιάστηκαν άμεσα, οι δευτερογενείς επιπτώσεις της επίθεσης στο KelpDAO ήταν καταστροφικές. Η Aave αντέδρασε παγώνοντας αμέσως τις αγορές rsETH στις εκδόσεις V3 και V4 για να αποτρέψει περαιτέρω εκμετάλλευση του συστήματος.

Το σύνολο του περιστατικού παραμένει μια υπενθύμιση των κινδύνων που συνδέονται με την αλληλεξάρτηση των πρωτοκόλλων DeFi. Μια αποτυχία σε έναν σύνδεσμο μπορεί να παραλύσει ένα ολόκληρο οικοσύστημα μέσα σε λίγες ώρες, αναγκάζοντας τους χρήστες να πληρώσουν ένα εξαιρετικά υψηλό τίμημα για να διασώσουν το δικό τους κεφάλαιο.