Como uma falha no oráculo Aave desencadeou liquidações de $21.7M e testou a governança de risco do DeFi

Em 10 de março, uma má configuração técnica na infraestrutura do oráculo da Aave levou a liquidações forçadas, testando a dependência do DeFi em sistemas automatizados de gestão de risco.

O evento de liquidação de 21,7 milhões de dólares na Aave

Os utilizadores da Aave sofreram aproximadamente 21,7 milhões de dólares em liquidações em 10 de março, após uma restrição na cadeia no agente de risco Wrapped stETH (wstETH) ter causado uma subavaliação das garantias. No total, 34 contas foram liquidadas porque o protocolo avaliou o wstETH a cerca de 2,85% abaixo do seu preço de mercado real.

O protocolo, no entanto, não incorreram em dívida má e compensou os utilizadores afetados. Contudo, o evento revelou fraquezas estruturais na forma como a gestão automatizada de risco do DeFi executa alterações sem intervenção humana. Também mostrou quão rapidamente um parâmetro mal configurado pode desencadear liquidações em larga escala de posições, que de outra forma estariam saudáveis.

De acordo com dados pós-incidente, os utilizadores que detinham wstETH como garantia contra dívida em WETH pareciam subgarantidos apenas devido à avaliação incorreta. Além disso, as suas posições teriam permanecido seguras a preços de mercado reais, reforçando que a falha foi de infraestrutura, não de mercado.

A mecânica da falha do CAPO

O incidente teve origem no sistema CAPO (Correlated Asset Price Oracle) da Aave, criado para proteger contra manipulações de ativos com preços correlacionados, como wstETH e stETH. O CAPO obtém a proporção wstETH/stETH da Lido, aplica um limite de proteção através do WstETHPriceCapAdapter, e depois multiplica o resultado pelo preço do ETH para obter uma avaliação em USD.

Às 12h47 UTC de 10 de março, o motor de risco off-chain da Chaos Labs recomendou atualizar o preço máximo do CAPO para 1,1933947 wstETH/ETH. Nesse momento, a proporção de mercado real era de 1,2285, indicando que o limite proposto já estava substancialmente abaixo dos preços atuais.

O AgentHub da BGD executou essa recomendação um bloco depois, via seu sistema de Oracle Automation, sem qualquer revisão intermediária entre a recomendação off-chain e a implementação on-chain. Essa pipeline instantânea foi exatamente o que transformou um erro de configuração numa ocorrência que impactou imediatamente os utilizadores.

A discrepância de 2,85% fez com que o protocolo subestimasse o valor do colateral wstETH. Como resultado, contas que deveriam estar seguras, de acordo com dados de mercado reais, foram marcadas como subgarantidas e liquidadas. O cascade processou 10.938 wstETH em 34 contas e gerou aproximadamente 512 ETH em bônus de liquidação para os liquidadores antes de o problema ser detectado e revertido.

Causa técnica raiz: desalinhamento de snapshot

A falha técnica originou-se de uma incompatibilidade entre os parâmetros snapshotRatio e snapshotTimestamp no CAPO. O agente de risco off-chain da Chaos Labs calculou uma proporção alvo de aproximadamente 1,2282, baseada numa snapshot de há 7 dias. Contudo, o sistema on-chain limitava a velocidade de variação dessa proporção.

Segundo as regras de proteção do CAPO, o valor on-chain anterior de cerca de 1,1572 só podia aumentar 3% a cada 3 dias. Na prática, isso significava que a proporção só poderia subir até cerca de 1,1919 numa única atualização, mesmo que a meta off-chain tivesse aumentado. Além disso, a atualização não alinhou esses limites com a lógica de timestamp.

O snapshotTimestamp foi definido como se o valor on-chain já refletisse a proporção off-chain de há 7 dias, criando uma inconsistência crítica entre tempo e referências de preço. Assim, o CAPO calculou uma taxa máxima de troca de aproximadamente 1,1939, cerca de 2,85% abaixo da taxa de mercado real de 1,2285.

Este incidente marcou a primeira atualização automatizada enviada on-chain pelo agente de risco CAPO da Chaos Labs desde a sua implementação. Contudo, o fato de a primeira execução ter provocado liquidações de utilizadores tornou a configuração particularmente preocupante tanto para a governação quanto para os utilizadores.

A cadeia de execução automatizada do Edge Risk ao AgentHub

O Edge Risk é o motor de risco off-chain proprietário da Chaos Labs, que prepara e envia alterações de parâmetros a partir de um endereço designado. O AgentHub, desenvolvido pela BGD, escuta essas alterações usando Oracle Automation e depois propagá-las para o protocolo.

A alteração incorreta de parâmetro passou pela pilha de risco automatizada da Chaos Labs numa sequência de duas transações. Primeiro, o motor Edge Risk recomendou alterar o limite para 1,191926 wstETH/ETH na transação 0xfbafeaa8c58dd6d79f88cdf5604bd25760964bc8fc0e834fe381bb1d96d3db95. Depois, o AgentHub executou a mudança um bloco depois, via transação 0x32c64151469cf2202cbc9581139c6de7b34dae2012eba9daf49311265dfe5a1e.

As liquidações diárias na Aave em fevereiro foram relativamente modestas, raramente ultrapassando os 5 milhões de dólares, dado que as condições de mercado permaneceram estáveis. O pico de 10 de março, de 21,6 milhões de dólares, destaca-se como um outlier isolado, aproximadamente quatro vezes o nível habitual. Além disso, os volumes de liquidação voltaram rapidamente à linha de base após a correção, confirmando que o stress veio do caminho do oráculo, e não de uma insolvência mais ampla do protocolo.

Este comportamento reforçou a conclusão de que o problema de precificação do wstETH foi uma falha de configuração isolada. Não foi um sintoma de deterioração na qualidade do colateral, problemas de liquidez ou desleverage sistêmico no ecossistema Aave.

Detecção, mitigação e plano de compensação por liquidação

A má configuração foi detectada em minutos, levando a uma resposta rápida da equipa da Aave e dos seus fornecedores de risco. Para conter a exposição, os limites de empréstimo de wstETH na Aave Core e na Aave Prime foram imediatamente reduzidos para 1, efetivamente congelando novas operações de empréstimo contra esse ativo.

Por intervenção manual do Risk Steward, a equipa realinhou o snapshotRatio com o snapshotTimestamp ativo, restaurando o feed do oráculo ao seu valor correto. Uma correção do oráculo foi enviada via transação 0xb883ad2f1101df8d48f014ba308550f3251c2e0a401e7fc9cf09f9c2a158259d, enquanto as alterações no limite de empréstimo para definir a capacidade de empréstimo de wstETH para 1 wstETH foram executadas via transação 0x34f568b28dbcaf6a8272038ea441cbc864c8608fe044c590f9f03d0dac9cf7f8.

Apesar da venda forçada, o protocolo não incorreram em dívida má e publicou um relatório detalhado no fórum de governação da Aave. Contudo, as perdas dos utilizadores decorrentes das liquidações exigiram uma resposta política separada, que acabou por implementar um plano estruturado de compensação.

Para compensar as contas afetadas, a Aave recuperou 141,5 ETH em bônus de liquidação através de reembolsos do BuilderNet. O tesouro DAO cobriu o restante, com o total de restituição aos utilizadores limitado a 358 ETH. Importa salientar que o plano foi implementado através de uma Proposta de Melhoria da Aave (AIP), garantindo que os utilizadores afetados receberam a compensação integral, apesar do erro ter ocorrido na infraestrutura.

Contexto de mercado em torno do incidente de 10 de março

A atividade cross-chain na Aave mostrou um crescimento robusto de utilizadores entre fevereiro e março. Por exemplo, a Avalanche registou 38.445 utilizadores que fizeram depósitos em 10 de fevereiro, enquanto a Base registou 31.763 utilizadores em 6 de março, apenas quatro dias antes do evento de liquidação impulsionado pelo oráculo.

Estes picos evidenciam um aumento no envolvimento dos utilizadores nas redes suportadas pela Aave, mesmo enquanto o protocolo enfrentava um incidente técnico complexo. Além disso, os depósitos e empréstimos totais na Aave permaneceram estáveis ao longo do início de 2026, sugerindo que a confiança no design central do protocolo não se enfraqueceu materialmente após o evento.

A estabilidade dos depósitos, combinada com a rápida normalização das liquidações, reforça que o problema de precificação do wstETH resultou de questões de configuração, e não de stress fundamental nos mercados de colaterais. No entanto, o risco de concentração em fornecedores de automação e caminhos de oráculo continua a ser uma preocupação estrutural para plataformas DeFi à escala da Aave.

Governação, transparência e o futuro da execução automatizada de oráculos

O incidente de 10 de março ilustra as compensações de governação criadas pela execução automatizada de oráculos em grandes protocolos de empréstimo DeFi. O Edge Risk da Chaos Labs recomendou um limite abaixo do mercado, o AgentHub da BGD executou-o um bloco depois, e as liquidações ocorreram em minutos, deixando quase nenhum espaço para intervenção humana.

Aave respondeu com uma deteção rápida, ações corretivas decisivas e compensação total aos utilizadores, financiada em parte pelo tesouro DAO. Contudo, o episódio revelou deficiências na validação pré-execução e destacou os riscos de dependência excessiva de um motor de risco proprietário. Em particular, a natureza fechada dos cálculos do Chaos Labs Edge Risk limita a verificação independente e coloca controlo operacional significativo nas mãos de fornecedores externos.

À medida que mais protocolos DeFi adotam quadros automatizados de agentes de risco CAPO e sistemas similares, o incidente mostra que a governação deve incorporar testes robustos, janelas de revisão explícitas e supervisão transparente. Além disso, a arquitetura mais ampla do oráculo da Aave provavelmente precisará de camadas adicionais de segurança, como verificações cruzadas de múltiplas fontes ou mecanismos de implementação faseada, para garantir que erros técnicos futuros não se traduzam diretamente em perdas para os utilizadores.

Resumindo, as liquidações de 10 de março não foram uma crise de mercado, mas um teste de resistência de governação e infraestrutura. A combinação de automação, execução rápida e modelação de risco opaca reforça a necessidade de os protocolos DeFi equilibrar eficiência com salvaguardas transparentes e auditáveis para proteger os utilizadores.