#Aave #rsETH #RiskManagement #SegurançaCrypto

Segurança – A Crise da Aave Está Sob Controle?
Um $200M buraco, uma resposta de toda a indústria, e o que isso significa para o risco na DeFi

Em 18 de abril de 2026, o protocolo de restaking líquido Kelp DAO sofreu a maior exploração de DeFi do ano. Um atacante abusou de uma vulnerabilidade na ponte alimentada pelo LayerZero do Kelp, criando aproximadamente 116.500 rsETH no valor de cerca de $292 milhão sem depositar ETH subjacente. Os tokens não garantidos foram então usados como garantia na Aave V3 para emprestar aproximadamente $236 milhão em WETH e wstETH.

O resultado: uma dívida incobrável estimada entre $124 milhão e $230 milhão em dívida ruim na Aave, dependendo de como as perdas são distribuídas entre as cadeias. Em 48 horas, mais de $9 bilhões em depósitos saíram da Aave. O valor total bloqueado caiu de 26,4 bilhões de dólares para 17,9 bilhões. O TVL de toda a DeFi caiu mais de $13 bilhões.

1. O Que Aconteceu e Por Que a Aave Sofreu o Impacto
O ataque não comprometeu os contratos inteligentes da Aave. O risco veio do rsETH, um token de restaking líquido aceito como garantia. Assim que a ponte foi esvaziada, o rsETH perdeu seu respaldo. Seu preço despencou, transformando empréstimos saudáveis em posições submersas que não podiam ser liquidadas. O Guardião do Protocolo da Aave congelou os mercados de rsETH, wrsETH e WETH e definiu o valor do empréstimo em relação ao valor (LTV) para zero.

A utilização de WETH disparou para 100%. Os usuários não podiam retirar. As taxas de empréstimo em ETH, USDT e USDC subiram para 8% e 14%. O protocolo não foi hackeado, mas absorveu o risco sistêmico de um ativo externo.

2. A Resposta: DeFi Unido
A indústria agiu rapidamente. Um esforço coordenado de alívio chamado “DeFi Unido” foi formado para restaurar o respaldo do rsETH. Contribuições principais até agora:
• Aave DAO: Propôs 25.000 ETH, no valor de aproximadamente $58 milhão, de seu tesouro. O fundador Stani Kulechov comprometeu 5.000 ETH pessoalmente. • Mantle: Propôs uma linha de crédito de até 30.000 ETH para ajudar a Aave a absorver a dívida ruim restante. • Fundação EtherFi: 5.000 ETH. • Lido DAO: Até 2.500 stETH. • Fundação Golem: 1.000 ETH. • Conselho de Segurança do Arbitrum: Congelou e moveu 30.700 ETH rastreados até o explorador, agora sujeito a uma proposta de governança para liberá-los para o fundo de recuperação.
Incluindo doações individuais e de protocolos, o fundo está em torno de 69.534 ETH, ou cerca de $161 milhão. Com o ETH congelado do Arbitrum, os analistas estimam que a falta de fundos poderia ser totalmente coberta se todas as propostas forem aprovadas.

A própria Kelp DAO relatou recuperar 73.700 ETH, embora uma lacuna de cerca de 89.500 ETH permanecesse no final da semana passada.

3. O Protocolo é Resiliente? Três Sinais

Velocidade de Contenção: Aave pausou os mercados em uma hora após o exploit e evitou empréstimos adicionais. O vetor de ataque estava fora do protocolo, mas os controles de risco foram ativados rapidamente.

Capacidade do Tesouro: O tesouro da DAO da Aave possui $181 milhão, incluindo $62 milhão em ativos correlacionados com ETH. A proposta de 25.000 ETH é uma das maiores respostas a incidentes apoiadas por tesouro na história da DeFi. O Módulo de Segurança Umbrella tinha cerca de $50 milhão antes do evento.

Coordenação entre Protocolos: Esta é a primeira vez que múltiplas DAOs, L2s e provedores de infraestrutura moveram fundos para um veículo compartilhado para cobrir uma dívida ruim de um único protocolo. O precedente importa: mostra que a governança pode alocar capital em grande escala sob pressão.

4. A Confiança Ainda Não Está Totalmente Restaurada
Os números mostram progresso, mas a confiança leva mais tempo. O saldo de staking da Aave caiu 33% de $45 bilhão para $30 bilhão em três dias. O TVL total da DeFi caiu mais de 27% desde o início do ano. Analistas observam que explorações repetidas estão pesando sobre o interesse institucional.

A exploração também revelou risco estrutural: as pontes continuam sendo o elo mais fraco. O ataque usou uma configuração DVN 1-de-1 no LayerZero, onde um único verificadore comprometido poderia assinar uma mensagem fraudulenta. Nenhuma chave foi roubada. Nenhum bug no contrato inteligente. Apenas sabotagem de infraestrutura.

5. Por Que a Gestão de Risco Ainda Importa
• Padrões de garantia: Ativos com dependência de ponte de ponto único criam exposição sistêmica. Protocolos estão reavaliando quais tokens de ponte qualificam-se como garantia. • Descentralização do DVN: LayerZero e outros estão migrando para configurações de múltiplos verificadores. A Flare expandiu de dois para quatro verificadores após o evento. • Reservas de dívida ruim: A governança da Aave está testando se os tesouros e módulos de segurança podem cobrir eventos extremos sem socializar perdas. A votação sobre os 25.000 ETH é a variável imediata.

Aave cobriu ou alinhou cobertura para aproximadamente 80% do buraco através de uma combinação de fundos recuperados, contribuições do DAO e do ecossistema. Os contratos principais do protocolo não foram violados, e a resposta de emergência evitou uma cascata maior.

Isso demonstra uma resposta forte do protocolo e verdadeira resiliência sob pressão. Mas o episódio também serve de lembrete: na DeFi, o risco não é eliminado, é transformado. Pontes, oráculos e tokens de staking líquido são novas camadas de confiança. Gerenciá-los agora é infraestrutura crítica.

A confiança não está totalmente destruída, mas também não está totalmente restaurada. Como a Aave finaliza a dívida ruim, como o rsETH recupera o respaldo, e como a governança atualiza a política de garantia determinará se este se torna um estudo de caso de recuperação ou um aviso sobre complexidade.
#GateSquareDaily