Enquanto o edifício da Aave desaba, o arranha-céus da Spark ergue-se

Autor: Zhou, ChainCatcher

A 18 de abril, os atacantes exploraram uma vulnerabilidade nos nós de validação da ponte inter-cadeias da Kelp DAO para criar, do nada, cerca de 292 milhões de dólares em rsETH sem garantia, que foram posteriormente depositados na Aave para obter WETH real através de um empréstimo.

Este lote de rsETH sem garantia foi aceite como garantia válida, mas o WETH real emprestado não pôde ser coberto de forma equivalente, o que levou a Aave a enfrentar um risco potencial de crédito incobrável de até 230,1 milhões de dólares.

De acordo com a análise do analista de cadeia de blocos Yu Jin, na manhã de 23 de abril, o TVL da Aave tinha caído para menos de 30 mil milhões de dólares, passando de 45,8 mil milhões de dólares antes do incidente para 29,6 mil milhões de dólares, com uma saída total de 16,2 mil milhões de dólares, o que representa uma queda superior a 40%.

O pânico espalhou-se muito além disso. Protocolos como o Morpho, o Sky e o JupLend, que não estavam diretamente envolvidos com o rsETH, também sofreram saídas de fundos em grande escala, e nem mesmo os protocolos na Solana foram poupados.

No entanto, esta crise também criou um vencedor inesperado. Parte dos fundos que saíram da Aave dirigiram-se diretamente para a Spark, tendo o token SPK registado uma subida superior a 150 % nos últimos 7 dias.

1. Aave na vanguarda

Por que razão a Aave se tornou a parte mais pressionada neste incidente? Começa pela sua estrutura.

Como token de restaking líquido (Liquid Restaking Token) da Kelp DAO, a evolução do preço do rsETH está fortemente correlacionada com a do ETH e é classificada como garantia de alta qualidade, com baixa volatilidade e elevada liquidez no modelo de risco da Aave.

No modo E-Mode (Modo de Eficiência), apresenta um rácio empréstimo/valor (LTV) de até 93% a 95%, permitindo aos utilizadores contrair empréstimos em WETH com uma alavancagem extremamente elevada.

Esta configuração do parâmetro reflete essencialmente a forte correlação de preços entre o rsETH e o ETH, bem como o seu desempenho em termos de liquidez no mercado secundário, ignorando, no entanto, a forte dependência do rsETH em relação ao contrato de ponte entre cadeias (LayerZero V2).

Consequentemente, quando os atacantes exploraram uma única vulnerabilidade do DVN configurada pela Kelp em 18 de abril para cunhar aproximadamente 116 500 rsETH sem garantia (no valor de cerca de 292 milhões de dólares) e depositaram a maior parte (cerca de 89 567 tokens) na Aave para contrair empréstimos em WETH real, o protocolo funcionou normalmente, tal como previsto, sem que o mecanismo de liquidação e o oráculo detetassem quaisquer anomalias, no entanto, ficou diretamente exposto a centenas de milhões de dólares em dívida incobrável.

Ironicamente, apenas 9 dias antes do incidente (9 de abril), a LlamaRisk, a prestadora de serviços de risco recém-nomeada, apresentou uma proposta aos Risk Stewards para aumentar o limite máximo de oferta de rsETH na rede principal da Ethereum de 480 000 para 530 000 tokens, invocando «uma forte procura do mercado, ampla liquidez na cadeia e um comportamento saudável dos utilizadores em termos de alavancagem».

Naquela altura, a taxa de utilização da oferta de rsETH na Aave já se aproximava dos 99,9 % e a estratégia de restaking alavancado estava em pleno andamento, mas ninguém reavaliou os pressupostos de segurança subjacentes à ponte.

Após o ataque, a Aave suspendeu rapidamente os levantamentos de WETH, o que levou a um desconto significativo no título de depósito aETHWETH. O acompanhamento na cadeia de blocos revela que, devido à suspensão dos levantamentos de WETH pela Aave, o título de depósito aETHWETH sofreu uma desvalorização, com grandes investidores a levantarem 13 000 ETH das bolsas, a adquirirem aETHWETH através do Swap e, posteriormente, a reembolsarem os empréstimos na proporção de 1:1, obtendo um lucro líquido de 143 ETH.

O efeito de contágio alastrou-se rapidamente aos fundos de stablecoins. O economista-chefe da Circle, Gordon Liao, apresentou uma proposta de gestão de emergência, sugerindo o aumento da taxa de juro máxima de depósito do USDC na rede principal Ethereum da Aave V3 para cerca de 48,2%, a fim de resolver a situação em que a taxa de utilização do pool do USDC tinha ultrapassado os 99,87% durante vários dias consecutivos, deixando a liquidez praticamente paralisada.

Atualmente, esta agitação continua a fermentar. A Aave propôs duas alternativas para lidar com as perdas: uma consiste em que todos os detentores de rsETH suportem coletivamente cerca de 15% do desconto, com o montante das dívidas incobráveis a rondar os 123,7 milhões de dólares; a outra consiste em isolar as perdas na L2, deixando a mainnet da Ethereum inalterada, mas a Mantle enfrentará um défice de 71,45% em WETH e a Arbitrum enfrentará um défice de 26,67%, aumentando o montante da dívida incobrável para cerca de 230,1 milhões de dólares.

A 21 de abril, o Conselho de Segurança da Arbitrum anunciou o congelamento de emergência de 30 766 ETH (cerca de 71 milhões de dólares) detidos por endereços relacionados com o ataque e transferiu-os para uma carteira intermédia controlada pela governança.

O fundador da Aave, Stani Kulechov, afirmou que a equipa está a trabalhar com vários parceiros para levar por diante diversos planos de recuperação, com o objetivo de alcançar um regresso ordenado às condições normais de mercado e proteger os interesses dos utilizadores. O Conselho de Segurança da Arbitrum recuperou 70 milhões de dólares em ETH, o que reduz significativamente a exposição a riscos potenciais.

O fundador da DefiLlama, 0xngmi, salientou ainda que, se os fundos congelados forem canalizados prioritariamente para o mercado local da Aave na Arbitrum, no âmbito da depreciação partilhada do rsETH, a dívida incobrável nessa cadeia poderia ser reduzida em 80 % ou mesmo aproximar-se de zero.

No entanto, as reservas de segurança do Umbrella da Aave (aproximadamente 80 a 100 milhões de dólares) continuam a parecer insuficientes face a um défice potencial de 230,1 milhões de dólares. O protocolo sugeriu suspender temporariamente o módulo Umbrella para evitar que a redução automática fosse acionada demasiado cedo, optando, em vez disso, por uma gestão manual da governança.

Até ao momento, as reservas de WETH no mercado Ethereum Core V3 foram parcialmente desbloqueadas, mas o LTV mantém-se em 0; as reservas de WETH em cadeias como Prime, Arbitrum, Base, Mantle e Linea continuam bloqueadas ou sujeitas a restrições.

2. Por que é que a Spark conseguiu evitar esta derrota?

A Spark não sofreu quaisquer perdas diretas neste ataque à ponte rsETH da Kelp DAO, uma decisão que remonta a janeiro de 2026. Ao mesmo tempo que a Aave integrou o rsETH no E-Mode e abriu empréstimos de alta alavancagem, a Spark optou por retirar o rsETH e outros ativos de baixa utilização da lista, ao mesmo tempo que tornou mais rigorosos os critérios de admissão de garantias.

Após o incidente, o diretor estratégico da Spark, monetsupply.eth, explicou a lógica por trás dessa decisão, afirmando que a Spark há muito tempo estabeleceu um limite máximo elevado para as taxas de juro no mercado de empréstimos de ETH e, ao longo do último ano, cedeu ativamente parte do seu negócio e das suas receitas à Aave (esta última tinha anteriormente reduzido as taxas de juro dos empréstimos de ETH para menos de 10% para atrair utilizadores que recorrem à alavancagem).

Esta decisão suscitou uma forte insatisfação entre os utilizadores de estratégias de alavancagem circular da ETH, tendo alguns fundos optado por sair da Spark. No entanto, ficou demonstrado que a retirada do rsETH da lista foi uma medida extremamente prudente — a liquidez para levantamentos de ETH na SparkLend manteve-se abundante, enquanto o mercado relacionado da Aave entrou num estado de bloqueio devido a uma elevada taxa de utilização.

O monetsupply.eth alertou também que a falta de liquidez da ETH como garantia principal não é apenas um inconveniente para os utilizadores, mas sim um risco sistémico para a segurança.

Ele salientou que, no contexto atual da Aave, cerca de 16,5% da oferta do mercado de ETH é sustentada pelo rsETH e, caso os empréstimos relacionados com o rsETH registem perdas tanto na mainnet como na L2, o E-Mode poderá enfrentar uma redução de 10% a 15%. Isso levaria os fornecedores de ETH a acelerar a sua saída, fixando a taxa de utilização em 100% e tornando as taxas de empréstimo ineficazes para incentivar reembolsos circulares de LST não relacionados, com vista a libertar liquidez.

Por conseguinte, se os preços da ETH caírem mais 15 % a 20 %, a Aave poderá enfrentar uma acumulação significativa de dívidas incobráveis. Para a Spark, este resultado sem perdas depende também de o mercado não continuar a cair.

A equipa do [Spark Protocol](https://www.rootdata.com/zh/Projects/detail/Spark Protocol?k=Nzc3NQ== "mercado de empréstimos descentralizado") afirmou numa entrevista à ChainCatcher que o facto de o Spark ter evitado o impacto não se deveu a uma única ação de retirada da lista, mas sim a todo um conjunto de sistemas de parâmetros de risco mais conservadores. Referiram que a Spark adotou um LTV conservador e limites de oferta rigorosos ao integrar o rsETH, o que significa que, mesmo sem a retirada da cotação, as perdas potenciais seriam muito limitadas e fáceis de recuperar. «Qualquer garantia que entre em vigor implica assumir um certo grau de risco; não é realista partir do princípio de que nunca ocorrerão perdas.» Na SparkLend, prevemos que tais eventos ocorram ocasionalmente e garantimos que o protocolo seja resiliente a esses cenários.

A equipa do Spark Protocol revelou também que dispõe de várias ferramentas de alerta, incluindo deteção por IA e software de monitorização personalizado. Ao tomarem conhecimento de um potencial ataque, concluíram uma verificação de todas as exposições diretas e indiretas no prazo de 30 minutos e puseram em prática um plano completo de saída do mercado.

No que diz respeito ao afluxo de grandes quantias de fundos após o incidente, afirmaram que a Spark pode contrair empréstimos de milhares de milhões junto da Sky a qualquer momento para satisfazer as necessidades de liquidez, e que esta elevada concentração de entradas de fundos reflete, sobretudo, o reconhecimento da segurança da Spark Savings. Ao longo da crise, o Spark Savings USDT foi o único local que manteve uma liquidez abundante, nunca tendo a liquidez em USDT descido abaixo dos 400 milhões de dólares.

Ninguém previa que o maior beneficiário a curto prazo da tempestade de dívidas incobráveis da Aave seria a Spark. Depois de os fundos terem saído em massa da Aave, alguns foram diretamente para a Spark. Os dados mais recentes da DefiLlama revelam que o seu TVL aumentou rapidamente de cerca de 1,9 mil milhões de dólares antes do incidente para um valor entre 3,3 e 3,5 mil milhões de dólares (um aumento superior a 80 %), em parte devido às contínuas injeções de capital por parte de grandes intervenientes como Sun Yuchen.

Fonte da imagem: Defillama

Entretanto, o preço do token SPK registou uma forte recuperação: à data da redação deste artigo, o SPK tinha subido mais de 95 % nas últimas 24 horas e mais de 180 % nos últimos 7 dias. O cofundador da F2Pool, Wang Chun, manifestou o seu arrependimento, afirmando que recebeu 83,7 milhões de recompensas SPK da Spark ao longo do último ano e que as vendeu todas na CoWSwap por 663 ETH e 1,4 milhões de dólares, sentindo-se agora «um pouco arrependido».

Fonte da imagem: RootData

No entanto, como afirmou o fundador da DefiLlama, 0xngmi, não há verdadeiros vencedores em tais eventos.

O crescimento do TVL da Spark consiste essencialmente numa redistribuição dos fundos DeFi existentes entre os protocolos, em vez de uma entrada de capital novo no mercado. O «bolo» de todo o setor encolheu a curto prazo, e ninguém consegue escapar a isso.

3. Quem deve ser responsabilizado?

O ponto de entrada deste ataque reside na ponte inter-cadeias da Kelp DAO, mais concretamente na configuração de um único nó de validação da LayerZero. Os contratos inteligentes do protocolo de empréstimo não apresentaram problemas, mas as perdas acabaram por recair sobre o protocolo de empréstimo e os seus utilizadores.

O investigador de criptomoedas CM chamou a atenção para uma distinção há muito ignorada: os ativos em ponte e os ativos nativos são fundamentalmente diferentes, tal como o USDC em ponte não é equivalente ao USDC real. O preço do rsETH pode estar fortemente correlacionado com o da ETH, mas a sua segurança depende em grande medida da fiabilidade do contrato de ponte.

São duas questões completamente diferentes. Como referido anteriormente, o modelo de risco da Aave avaliou com precisão a correlação de preços e a liquidez, mas ignorou sistematicamente os riscos da infraestrutura de ponte.

O problema não fica por aí. A Aave abrange 22 cadeias, cada uma com diferentes configurações de ponte, diferentes fontes de oráculo e diferentes processos de liquidação. Esta complexidade já é difícil de monitorizar em tempo real através de uma gestão manual. Quando várias cadeias enfrentam problemas simultaneamente, a única coisa que o protocolo pode fazer é congelar o mercado, uma vez que não existe um mecanismo pré-definido para determinar como repartir as perdas.

No que diz respeito à responsabilização, a Kelp DAO e a LayerZero entraram num jogo de acusações públicas: A Kelp salienta que a configuração padrão da LayerZero apresenta riscos e que muitos protocolos utilizam definições semelhantes; a LayerZero refere que a Kelp optou por uma configuração de segurança reduzida com um único validador, apesar de ter recomendado uma solução com vários DVN.

Até ao momento, nenhuma das partes chegou a um acordo sobre uma repartição clara de responsabilidades ou um quadro de indemnização. Os dados mais recentes da Polymarket mostram que a probabilidade de o mercado apostar que «a Kelp irá partilhar as perdas» baixou de cerca de 50 % no início do incidente para cerca de 12 %.

No que diz respeito à repartição das perdas, surgiu uma terceira opinião na comunidade.

O veterano participante da DeFi @DeFi_Dad questionou nas discussões por que razão ambas as propostas implicam que os utilizadores suportem as perdas e por que razão não pode haver um «cavaleiro branco» a intervir para colmatar o défice através de um plano de reembolso da dívida? Ele citou a Bybit, a Coinbase e a Binance, considerando que esta é uma oportunidade para as bolsas centralizadas (CEX) marcarem presença.

O investidor em criptomoedas @anndylian propôs um plano mais específico: A Kelp DAO emite «certificados de dívida» à Aave, comprometendo-se a recomprar e destruir gradualmente os rsETH não garantidos com as futuras receitas de comissões de staking, transformando uma separação radical pontual num reembolso de dívida a prestações, evitando assim uma queda nos preços dos tokens Kelp devido a pagamentos imediatos.

No que diz respeito aos limites da responsabilidade, o consenso do setor inclina-se para: A Kelp DAO, na qualidade de emissora do rsETH, é responsável pelas opções de configuração da ponte oficial da LayerZero; por conseguinte, as perdas relacionadas com o rsETH devem ser repartidas, em primeiro lugar, por todos os detentores de rsETH; enquanto que as dívidas incobráveis geradas na Aave devem ser da responsabilidade da Aave DAO, devido às suas decisões de gestão de risco (incluindo o LTV do rsETH, o limite de oferta e as configurações do E-Mode).

Em última análise, a Kelp e a LayerZero estão a passar a bola uma à outra, o que põe em evidência um ponto fraco da DeFi atual: num sistema complexo em que os protocolos inter-cadeias, de LRT e de empréstimo estão profundamente interligados, quando ocorre um incidente, ninguém consegue definir claramente quem deve assumir a responsabilidade, e quem acaba por pagar o preço são, muitas vezes, os protocolos de empréstimo e os seus utilizadores.

Embora a Kelp DAO tenha recentemente dado sinais de que coloca «o utilizador em primeiro lugar» e de uma negociação ativa, o desfecho final do incidente depende ainda em grande medida do plano da Kelp para a alienação dos ativos remanescentes e dos votos de governança de todas as partes.

Isto também confirma um ponto: na ausência de um consenso do setor quanto aos limites de responsabilidade, os protocolos de empréstimo devem integrar proativamente as dependências externas, como os riscos de transição, nos seus próprios sistemas de controlo de risco, em vez de dependerem da responsabilização pós-evento ou de resgates externos.