Motivos de las salidas masivas:
- Congelación de los mercados con $RSETH y $WETH en Aave V3/V4 y muchos otros protocolos
- Ola de odio hacia LayerZero: la equipo, 10 horas después del hackeo, solo pudo escribir: «Somos conscientes del hackeo y estamos investigando la causa»
- Los protocolos suspenden el trabajo con el puente LayerZero OFT.
$RSETH en más de 20 redes quedó sin respaldo.
Comentario de Mikhail Yegorov (Curve):
Esta historia comenzó con LayerZero, una plataforma en la que se apoya cripto por valor de un cuarto de billón de dólares. ¿Qué pasó entonces? Veamoslo juntos.
rsETH de Kelp utiliza el puente LayerZero. Este puente permite transferir rsETH a otras redes y viceversa. Solo se puede crear rsETH en Ethereum, y todo rsETH en otras redes está respaldado por mainnet-rsETH, que reside en el puente.
En LayerZero se pueden elegir los llamados DVN. Los DVN son nodos que básicamente transmiten mensajes desde otra red. Una configuración de 2 de 3 DVN significaría que dos DVN deberían estar de acuerdo en que «entregar 100.000 rsETH a Eva» era exactamente lo que se había solicitado en la otra red. Y aquí está el problema: rsETH tiene una configuración de 1 de 1 DVN — solo un DVN utiliza y confía plenamente en este sistema (aunque sea el DVN principal de LayerZero). Así que fue él quien confirmó el mensaje que permitió entregar al hacker todo el rsETH del puente, aunque nunca se hubiera enviado en la red original (en este caso, Unichain).
Como probablemente hayan escuchado, una configuración de 1 de 1 para multisig es algo inseguro. Lo mismo ocurre con los DVN. Pero este era EL MISMO DVN oficial de LayerZero — ¿cómo pudo haber confirmado un mensaje incorrecto? ¿Lo hackearon? ¿Lo engañaron? No lo sabemos. Pero cualquier cosa puede pasar cuando confías en una sola parte, sea quien sea.
Bueno, el hacker engañó al DVN oficial de LayerZero y obtuvo muchísimo rsETH. ¿Y ahora qué? Resultó ser muy rentable para el hacker prender rsETH en Aave y tomar todo el ETH posible allí. Y Aave se quedó con rsETH que, en esencia, es imposible vender, y con ETH tomado hasta el límite, así que nadie puede retirar ETH. Potencialmente, una deuda mala de ~300 millones. Puede que no sea así — técnicamente todavía está respaldado, pero ahora mismo está ocurriendo una corrida bancaria en Aave.
Entonces, ¿qué conclusiones podemos sacar de esto?
* El crédito no aislado, como en Aave, es muy arriesgado (aunque también es el más eficiente en términos de capital). Aave v4 con su modelo hub-and-spoke probablemente sea menos riesgoso. Morpho también. Y el crédito en Curve, al igual que Silo, probablemente sea el más aislado → el más seguro en este sentido.
* Los protocolos de crédito son más arriesgados para depositar fondos que los DEX. El pool USDC/USDT en Curve tiene exposición solo a dos activos en el pool, mientras que Aave tiene exposición a todos los activos añadidos allí.
* Hay que prestar más atención al onboarding de activos en los protocolos de crédito. La configuración de 1 de 1 DVN para rsETH fue realmente un error: debería haberse actualizado al menos a 2 de 2 antes del onboarding.
* Las transacciones entre cadenas son complejas y potencialmente peligrosas. Usa infraestructura de cross-chain solo cuando sea absolutamente necesario, y hazlo REALMENTE con cuidado.
En cualquier caso, creo que DeFi aprenderá de este incidente y saldrá fortalecido. La cripto es un entorno duro donde ningún banco sobreviviría — y aun así trabajamos en él. La infraestructura sin permisos requiere esfuerzos extraordinarios para ser segura, ¡y nosotros los hacemos!
El TVL cayó de $26,4 mil millones a $19,8 mil millones
AAVE cayó un 25% desde los máximos del 17 de abril