Aave anunciou em 1º de junho que restaurou a liquidez total de seus pools de empréstimo após um exploit cross-chain de US$ 300 milhões que ameaçou as reservas de caixa do protocolo. O protocolo de finanças descentralizadas mobilizou um fundo de resgate no setor de US$ 300 milhões e obteve uma ordem judicial federal de emergência para substituir os ativos drenados, proteger os depositantes contra perdas e restaurar as operações normais de tomar e emprestar. O anúncio veio mais de um mês depois que um atacante explorou uma ponte de terceiros operada pela Kelp e pela Layerzero, cunhando 116.500 tokens rsETH contrafeitos e usando-os como garantia para retirar 82.650 ether ethereum (wETH) e 821 staked ethereum tokenizados (wstETH) embrulhados do platform V3 da Aave.
Atacante explorou a ponte Kelp-Layerzero para cunhar colateral contrafeito
O atacante explorou uma ponte de terceiros operada pela Kelp e pela Layerzero ao fabricar mensagens cross-chain. O hacker cunhou 116.500 tokens rsETH contrafeitos e os depositou na plataforma V3 da Aave como colateral. Em seguida, o atacante usou imediatamente o rsETH falso como garantia para contrair 82.650 ether ethereum embrulhados (WETH) e 821 staked ethereum embrulhados (wstETH). A retirada em massa repentina enfraqueceu estruturalmente os pools centrais de liquidez da Aave, levando os gestores de risco a congelar os mercados afetados para evitar uma corrida em cascata sobre o capital da plataforma.
Aave Labs mobilizou o fundo de recuperação $300M com coalizão do setor
Aave Labs ajudou a mobilizar uma coalizão emergencial de grandes players do setor, incluindo Lido, Ether.fi, Ethena e Compound. Juntos, o grupo estruturou um fundo de recuperação de US$ 300 milhões. Essa injeção de capital funcionou como uma retaguarda para os ativos rsETH comprometidos, garantindo que cada dólar dos depósitos dos usuários permanecesse integralmente lastreado por reservas autênticas.
Tribunal federal autorizou transferência de emergencia dos fundos $71M recuperados
Em 1º de maio, credores de uma ação federal não relacionada interceptaram o processo de recuperação. Os credores obtiveram um aviso de restrição que congelou aproximadamente US$ 71 milhões em ethereum que haviam sido recuperados do atacante e estavam destinados a reabastecer os pools da Aave. A Aave respondeu ao protocolar uma moção emergencial em um tribunal federal dos EUA em 4 de maio. Quatro dias depois, em 8 de maio, um juiz concedeu uma modificação crucial ao congelamento, permitindo a transferência imediata dos US$ 71 milhões de volta para a custódia direta da Aave. Esse avanço jurídico permitiu que os desenvolvedores direcionassem instantaneamente os recursos para os pools ativos de empréstimo do protocolo, restaurando a profundidade de liquidez necessária para operações seguras de mercado.
Aave executou 295 atualizações de parâmetros e o limitador LTV0
Com as reservas de capital totalmente recompostas e os parâmetros de mercado anteriores ao exploit restaurados, a Aave está reformulando sua arquitetura de risco para isolar sua liquidez de futuras falhas sistêmicas de terceiros. Para impedir que futuros atacantes convertam tokens explorados em ativos líquidos do protocolo, os desenvolvedores da Aave executaram 295 atualizações individuais de parâmetros, reduzindo fortemente os limites de empréstimo e de fornecimento em 168 pools separados de ativos. Além disso, o protocolo está implementando um limitador automatizado de LTV0 (zero para loan-to-value). A partir de agora, se a infraestrutura cross-chain subjacente de qualquer ativo sofrer uma violação de segurança, o sistema removerá instantaneamente o valor de colateral desse ativo. Isso garante que tokens comprometidos não possam mais ser usados para contrair ou drenar liquidez autêntica dos mercados da Aave.
Perguntas frequentes
O que a Aave anunciou em 1º de junho?
A Aave anunciou em 1º de junho que restaurou a liquidez total de seus pools de empréstimo após um exploit cross-chain de US$ 300 milhões. O protocolo mobilizou um fundo de resgate no setor de US$ 300 milhões e obteve uma ordem judicial federal de emergência para substituir os ativos drenados e restaurar as operações normais de tomar e emprestar.
Como o atacante explorou a plataforma da Aave?
O atacante explorou uma ponte de terceiros operada pela Kelp e pela Layerzero ao fabricar mensagens cross-chain para cunhar 116.500 tokens rsETH contrafeitos. Esses tokens falsos foram depositados na plataforma V3 da Aave como colateral e usados imediatamente para contrair 82.650 ether ethereum embrulhados e 821 staked ethereum embrulhados.
Quais medidas de segurança a Aave implementou após o exploit?
A Aave executou 295 atualizações individuais de parâmetros, reduzindo os limites de empréstimo e de fornecimento em 168 pools separados de ativos. O protocolo também implementou um limitador automatizado de LTV0 que removerá instantaneamente o valor de colateral de qualquer ativo comprometido se a infraestrutura cross-chain subjacente sofrer uma violação de segurança.
