Włamanie do KelpDAO wywołało wstrząs systemowy w protokole Aave

Krytyczna luka w infrastrukturze mostkowej protokołu KelpDAO doprowadziła do jednego z największych wstrząsów płynnościowych w historii DeFi. Atakujący wykorzystał tę lukę do wygenerowania 116 500 fałszywych tokenów rsETH, stanowiących około 18% całkowitej podaży.

Te aktywa bez pokrycia, o wartości rynkowej 292 mln dolarów, zostały następnie zdeponowane w protokole Aave jako zabezpieczenie. Pozwoliło to atakującemu uzyskać dostęp do prawdziwych aktywów w postaci ETH, wETH i stablecoinów, które zostały natychmiast wyprowadzone z systemu.

Prosta logika „fałszywe tokeny za prawdziwe pieniądze” wywołała natychmiastową reakcję łańcuchową. Nastąpił ogromny „run na bank”, gdy inwestorzy rzucili się, by ratować swoje środki, zanim w systemie zabraknie dostępnej gotówki.

Główni gracze instytucjonalni, w tym giełda MEXC i Justin Sun, zaczęli w panice wycofywać swoje aktywa. Doprowadziło to do odpływu płynności z Aave przekraczającego 6 miliardów dolarów w ciągu jednego dnia.

Ta gwałtowna wypłata spowodowała, że wskaźnik wykorzystania głównych pul — ETH, USDT i USDC — wzrósł do krytycznego poziomu 100%. W tym momencie system praktycznie się zablokował, a zwykli użytkownicy stracili możliwość wypłaty swoich depozytów.

Próbując uzyskać dostęp przynajmniej do części swoich aktywów, użytkownicy rzucili się na kosztowne, awaryjne obejście. Zaczęli pożyczać własne pieniądze pod zastaw zamrożonych depozytów, tylko po to, by uzyskać jakąś formę płynnej gotówki.

Zjawisko to spowodowało nietypowy wzrost wolumenu pożyczek o 300 milionów dolarów. Analitycy wskazują, że nie był to znak zdrowego popytu na kredyt, ale wyraźny wskaźnik kryzysu, w którym użytkownicy w zasadzie płacą odsetki, aby uzyskać dostęp do własnych oszczędności.

Ze względu na limity wartości kredytu do wartości (LTV) ustalone na około 75%, użytkownicy mogli pożyczyć jedynie część wartości swoich aktywów. W tej desperackiej walce o płynność musieli zaakceptować natychmiastowe straty wynoszące od 10% do 25%.

Paraliż systemowy stopniowo rozprzestrzenił się na inne rynki. Płynność wyschła w pulach stablecoinów, takich jak DAI, GHO i USDe, które stały się całkowicie niedostępne na różnych rynkach DeFi.

Chociaż inteligentne kontrakty Aave nie zostały bezpośrednio naruszone, skutki uboczne ataku na KelpDAO były druzgocące. Aave zareagowało natychmiastowym zamrożeniem rynków rsETH w wersjach V3 i V4, aby zapobiec dalszemu wykorzystywaniu systemu.

Cały incydent pozostaje przypomnieniem ryzyka związanego z współzależnością protokołów DeFi. Awaria jednego ogniwa może sparaliżować cały ekosystem w ciągu kilku godzin, zmuszając użytkowników do zapłacenia niezwykle wysokiej ceny za uratowanie własnego kapitału.