L'attacco hacker a KelpDAO ha provocato uno shock sistemico sul protocollo Aave

Una vulnerabilità critica nell'infrastruttura del bridge del protocollo KelpDAO ha provocato uno dei più significativi shock di liquidità nella storia della DeFi. L'autore dell'attacco ha sfruttato una falla per generare 116.500 token rsETH contraffatti, pari a circa il 18% dell'offerta totale.

Queste attività non garantite, con un valore di mercato di 292 milioni di dollari, sono state successivamente depositate nel protocollo Aave come garanzia. Ciò ha permesso all'autore dell'attacco di ottenere l'accesso ad attività reali sotto forma di ETH, wETH e stablecoin, che sono state immediatamente sottratte dal sistema.

La semplice logica dei "token falsi in cambio di denaro reale" ha innescato un'immediata reazione a catena. Ne è seguita una massiccia "corsa agli sportelli", con gli investitori che si sono affrettati a recuperare i propri fondi prima che il sistema esaurisse la liquidità disponibile.

I principali attori istituzionali, tra cui l'exchange MEXC e Justin Sun, hanno iniziato a ritirare i propri asset in preda al panico. Ciò ha portato a un deflusso di liquidità da Aave superiore a 6 miliardi di dollari in un solo giorno.

Questo rapido prelievo ha causato un picco del tasso di utilizzo dei pool principali — ETH, USDT e USDC — fino a un critico 100%. A quel punto, il sistema si è di fatto bloccato e gli utenti regolari hanno perso la possibilità di prelevare i propri depositi.

Nel tentativo di accedere almeno a una parte delle proprie risorse, gli utenti si sono riversati su una costosa soluzione di emergenza. Hanno iniziato a prendere in prestito il proprio denaro a fronte dei depositi congelati solo per ottenere una qualche forma di liquidità.

Questo fenomeno ha provocato un anomalo picco di 300 milioni di dollari nel volume dei prestiti. Gli analisti sottolineano che questo non era un segno di una sana domanda di credito, ma un chiaro indicatore di una crisi in cui gli utenti stanno essenzialmente pagando interessi per accedere ai propri risparmi.

A causa dei limiti di Loan-to-Value (LTV) fissati a circa il 75%, gli utenti potevano prendere in prestito solo una parte del valore dei propri asset. In questa disperata corsa alla liquidità, hanno dovuto accettare perdite immediate comprese tra il 10% e il 25%.

La paralisi sistemica si è gradualmente estesa ad altri mercati. La liquidità si è prosciugata nei pool di stablecoin come DAI, GHO e USDe, che sono diventati completamente indisponibili in vari mercati DeFi.

Sebbene gli smart contract di Aave non fossero stati compromessi direttamente, gli effetti secondari dell'attacco a KelpDAO sono stati devastanti. Aave ha risposto congelando immediatamente i mercati rsETH sulle versioni V3 e V4 per impedire un ulteriore sfruttamento del sistema.

L'intero incidente rimane un monito dei rischi associati all'interdipendenza dei protocolli DeFi. Un guasto in un unico anello può paralizzare un intero ecosistema nel giro di poche ore, costringendo gli utenti a pagare un prezzo estremamente alto per salvare il proprio capitale.