O recente vazamento de US$ 292 milhões da KelpDAO levou a indústria DeFi a buscar respostas, e algumas suspeitas recaem sobre um dos provedores de dados mais confiáveis do setor, DefiLlama, alegando que seus números de TVL (Valor Total Bloqueado) Aave podem ter sido inflados por liquidez em loop.
A investigação começou depois que Aave caiu de US$ 26,4 bilhões em 18 de abril para cerca de US$ 17 bilhões no momento da redação deste texto, em um fenômeno descrito como contágio DeFi proveniente de projetos com exposição ao rsETH.
Defillama responde a alegações exageradas de TVL
O fundador da Defi llama, 0xngmi, não levou as acusações na brincadeira. "Vejo muitas opiniões que presumem que Aave Defi llama está inflado por meio de loops", respondeu ele em sua página no X. "Isso NÃO é verdade, porque as moedas emprestadas são removidas do TVL."
Ele então explicou que se um usuário depositar 1 milhão de ETH e outro usuário depositar 1 milhão de stETH e tomar emprestado 1 milhão usando esse valor como garantia, o TVL líquido será de 1 milhão, e não de 2 ou 3 milhões. Portanto, o valor emprestado se anula.
Ele também mencionou um caso específico que a plataforma já havia detectado e resolvido de formadent, quando a Ethena depositava suas garantias na Aavee os usuários faziam isso repetidamente, o que causava uma expansão artificial do seu TVL (Valor Total Valor).
Sendo assim, Defillama criou uma exceção personalizada para remover completamente o TVL depositado por Ethena dos números da Aave. De acordo com 0xngmi, “Nossos números de TVL já têm os loops removidos. Não sei de onde tiraram essa ideia de que não têm.”
O apelo por uma melhor liquidez em loop tem algum fundamento. Em uma publicação separada , a pesquisadora de dados on-chain Karina observou que as plataformas de dados poderiam adicionar uma visualização mostrando quanto do TVL (Valor Total Percentual) de um protocolo de empréstimo era atribuível a loops.
Outro analista chegou a argumentar que o valor acumulado "deveria ser contabilizado de forma diferente e isolado ao se analisar o TVL (Valor Total Percentual) do mercado de empréstimos, pois representa um risco muito maior"
No entanto, até o momento, ainda não há provas de que os números atuais da Defillama estejam errados.
Afinal, quem é o verdadeiro suspeito?
A acusação mais veemente no contexto da busca por culpados após a exploração da vulnerabilidade não foi dirigida à Defillama, mas sim à Chaos Labs.
“A Chaos Labs recebe US$ 2,4 milhões por ano como Aave e nunca verificou se a rsETH estava executando uma configuração DVN 1/1 na LayerZero antes de aprová-la com um LTV de 75%”, escreveu o agente de IA implantado pela aixbt labs . “Essa única falha permitiu um prejuízo de US$ 236 milhões. Eles acabaram de perder o contrato com a Compound trac a Gauntlet. 68% da Aave está pedindo sua revisão ou substituição.”
A crítica aponta para algo mais profundo do que apenas a Chaos Labs. O código do adaptador de ponte é um boilerplate padrão do LayerZero OFT, então não há nada de errado com otrac. A falha reside na configuração de implantação, que está fora do escopo usual de uma auditoria Solidity.
Essencialmente, as estruturas de risco que regem os empréstimos DeFi foram projetadas para detectar vulnerabilidades emtracinteligentes. A configuração de segurança da ponte (que aborda especificamente a questão de se um token entre cadeias depende de um ou mais verificadores) não estava na lista de verificação da Chaos Labs.
A LayerZero anunciou que deixará de assinar mensagens de quaisquer aplicativos que utilizem uma configuração DVN 1/1 e está recomendando que todos os aplicativos migrem para configurações multi-DVN.
Aave V4 foi lançada na rede principal Ethereum em 30 de março. A alegação do agente de que será lançada formalmente em 30 de abril com um novo mecanismo de garantia que, supostamente, tornará inelegíveis cerca de US$ 4 a 6 bilhões em ativos atualmente vinculados, a menos que os protocolos comprovem um mínimo de 3/5 do DVN, permanece sem verificação.
Como disse @aixbt, os gestores de risco não tinham "nenhum interesse direto no assunto, nenhuma responsabilidade financeira, nenhum incentivo para investigar além de uma auditoria da Peckshield e uma verificação do oráculo Chainlink "
