El ataque a rsETH, que comenzó la noche del sábado 18 de abril, escaló de un solo hackeo en un puente a una de las mayores crisis de liquidez en la historia de DeFi en una semana. Se acuñaron 116,500 rsETH, por valor aproximado de $292 millones, mediante un mensaje falso en el puente rsETH basado en LayerZero de KelpDAO. Luego, el atacante depositó directamente estos tokens "sin respaldo" en Aave, prestando efectivamente activos reales. Aquí un resumen de los eventos de la semana:

¿Cómo funcionó el ataque?

Usando la configuración de validador único de LayerZero (1-de-1), el puente de KelpDAO validó el mensaje falso de lzReceive del atacante. Esto permitió acuñar rsETH sin bloquear ningún ETH en la billetera.

Estos rsETH se depositaron en Aave V3 como colateral en minutos. El protocolo, por su naturaleza, aceptó la solicitud, y el atacante retiró aproximadamente $190 millones en WETH, wstETH y stablecoins. Aave declaró posteriormente que "el sistema funcionó según su diseño, el problema fue que el colateral era fraudulento."

Los mismos tokens también se usaron en los mercados de Aave en Arbitrum y Base. El déficit total, según estimaciones iniciales, oscila entre $123 millones y $230 millones.

Corrida bancaria en Aave

Tan pronto como se difundió la noticia, los usuarios entraron en pánico. La oferta total en Aave, que era de 45.8 mil millones de dólares el sábado por la noche, cayó a 30.8 mil millones para el miércoles por la mañana. La salida de aproximadamente $15 mil millones fue la retirada más rápida en la historia del protocolo.

El momento más crítico fue cuando los pools de USDT y USDC alcanzaron el 100% de uso. Aproximadamente $5 mil millones en stablecoins quedaron inutilizables porque los prestatarios no pudieron devolver. Mientras los usuarios protestaban con quejas de "mi dinero está bloqueado" en X, el token AAVE perdió un 17.7% de su valor en tres días.

La gestión de Aave congeló los mercados de rsETH en Ethereum, Arbitrum y Optimism. Se detuvieron los nuevos depósitos de colateral y los préstamos.

Congelación y Rastreo

El lunes, el Consejo de Seguridad de Arbitrum congeló 30,766 ETH, aproximadamente $71 millones, en la billetera del atacante y la movió a una bóveda sin vigilancia. Esto generó un debate sobre la descentralización, pero al menos parte del dinero fue recuperado.

Los fondos restantes están siendo lavados rápidamente. Detectives en cadena determinaron que el atacante convirtió 34,500 ETH, aproximadamente $175 millones, en Bitcoin a través de THORChain. Cantidades menores fueron enrutadas por el protocolo de privacidad Umbra. LayerZero atribuyó el ataque a la célula "TraderTraitor" del grupo Lazarus vinculado a Corea del Norte.

DeFi Unido: La contraofensiva del sector

Algo inusual ocurrió a mitad de semana. Aave, Spark, Morpho, Curve y Mantle formaron un fondo de recuperación llamado "DeFi United". El objetivo es reconstruir el colateral de rsETH.

Inicialmente, se depositaron 43,500 ETH, aproximadamente $101 millones, en el fondo común.
Mantle abrió una línea de crédito de 30,000 ETH a Aave y declaró, "contribuiremos desde la tesorería si es necesario."
Hasta la fecha, se han reembolsado más de $204 millones en activos, y la liquidez ha comenzado a normalizarse.

El equipo de KelpDAO ha pausado todos los contratos de rsETH y está reescribiendo el puente con LayerZero. LayerZero anunció que ha cancelado todas las configuraciones de validador único y detenido la firma de mensajes.

¿Y cuál es la situación de rsETH ahora?

El token aún no respalda ETH uno a uno. Se cotiza con un descuento del 6-8% en el mercado. Aave aún no ha decidido si socializará la pérdida. Hay tres opciones sobre la mesa:

Cobertura del tesoro de Aave
Pasar las pérdidas a los titulares de rsETH
Recompra gradual con el fondo DeFi United

El problema más urgente para los usuarios son los stablecoins bloqueados. Aave dice que se abrirán retiros de USDT/USDC a medida que los reembolsos de los prestatarios se aceleren.

¿Cuál es la lección?

El ataque de $292 millones mostró cómo un solo error en la configuración puede borrar $14 mil millones en TVL de DeFi. Los proyectos de "infraestructura" como LayerZero ahora son responsables no solo del código, sino también de la seguridad operativa.

Los últimos datos compartidos bajo la etiqueta #rsETHAttackUpdate muestran que lo peor de la crisis ha pasado, pero la herida no está sanada. La congelación de Arbitrum salvó $71 millones, DeFi United recaudó $100 millones, pero aún hay un déficit de $120 millones.

Para el sector, esta es la mayor "prueba de confianza" desde el colapso de Terra en 2022. Si Aave absorbe el daño, la narrativa de "el código es la ley" en DeFi dará paso a una narrativa de "seguro comunitario". Si no, comenzará un largo proceso legal entre los titulares de rsETH y los depositantes de Aave.

El ataque, que comenzó hace una semana, ahora es un problema no solo para KelpDAO, sino para todo el ecosistema de restaking.