Il 18 aprile 2026, la natura interconnessa della finanza decentralizzata ha trasformato una vulnerabilità esterna in una crisi sistemica catastrofica per Aave. Un attacco sofisticato all'infrastruttura cross-chain di Kelp DAO ha portato al furto di oltre $292 milioni in token di liquid restaking. Armiando i parametri di rischio aggressivi di Aave, gli attaccanti hanno estratto $272 milioni in WETH, lasciando i normali depositanti di fronte a perdite permanenti ed esponendo i difetti fatali dell'architettura DeFi iper-componibile.
❍ La Violazione del Ponte LayerZero
La crisi è iniziata esternamente al ponte adattatore cross-chain Kelp DAO, alimentato dall'infrastruttura LayerZero.
La Manipolazione: Gli aggressori hanno utilizzato payload di messaggistica falsificati per manipolare il complesso strato di verifica del ponte, concedendo a se stessi permessi a livello di amministratore.
Il Carico: Questa manipolazione tecnica ha permesso loro di drenare 116.500 token rsETH direttamente in un portafoglio controllato dall'attaccante.
Scala Massiccia: Questa somma rappresentava circa il 18 percento dell'offerta circolante globale di rsETH, con un valore di oltre $292 milioni.
❍ Armi dell'Efficienza di Aave
Gli aggressori hanno immediatamente preso di mira i pool di liquidità profonda su Aave, depositando il rsETH rubato come collaterale in entrambe le implementazioni V3 e V4.
Estrazione Massima: Utilizzando la Modalità di Efficienza di Aave (E-Mode), che classifica rsETH come altamente correlato all'ether nativo, gli aggressori hanno garantito un rapporto prestito-valore del 93 percento. Sotto parametri di rischio standard, questo limite di prestito sarebbe stato rigorosamente fissato al 72 percento.
Il Drenaggio: Questa aggressiva parametrizzazione ha consentito l'estrazione di $272 milioni in WETH contro il collaterale non garantito. La configurazione E-Mode ha permesso loro di estrarre $62 milioni in più rispetto a quanto avrebbero consentito le impostazioni standard.
Utilizzazione del 100 Percento: Poiché il vero valore di mercato di rsETH è crollato istantaneamente, la logica interna di Aave ha ritardato gli aggiornamenti dei prezzi. Il protocollo ha assorbito il collaterale senza valore, portando il tasso di utilizzo del pool WETH esattamente al 100 percento e bloccando i depositanti legittimi dai loro fondi.
❍ Umbrella Fallisce e i Depositi Affrontano Riduzioni
I Guardiani di Aave hanno eseguito protocolli di emergenza, bloccando tutti i mercati rsETH e wrsETH per contenere la contagione. Questo ha attivato Umbrella, il sistema automatizzato di gestione del rischio on-chain che ha sostituito il Modulo di Sicurezza legacy alla fine del 2025.
Il Deficit: Umbrella ha automaticamente bruciato i suoi asset staked per coprire i debiti cattivi, ma il vault conteneva solo $50 milioni di aWETH disponibili per un immediato slashing.
Il Gap di Finanziamento: Con un totale di debiti cattivi stimato tra $177 milioni e $280 milioni, il protocollo ha affrontato un gap di finanziamento irrisolvibile compreso tra $127 milioni e $150 milioni.
Riduzioni Obbligatorie: La documentazione ufficiale del protocollo afferma che una volta che gli asset collaterali di Umbrella bruciano completamente, il deficit rimanente ricade direttamente sui normali depositanti WETH. Questi utenti ora affrontano una riduzione obbligatoria, che segna una perdita parziale permanente dei loro depositi principali.
Alcuni Pensieri Casuali 💭
Questo evento è una lezione brutale sui pericoli della composabilità DeFi. I contratti intelligenti core di Aave hanno eseguito perfettamente, eppure il protocollo è stato comunque messo in ginocchio. L'exploit è originato interamente al di fuori dell'ecosistema di Aave al ponte Kelp DAO, ma la stessa parametrizzazione interna aggressiva di Aave ha servito come catalizzatore finale per l'estrazione. Quando un protocollo si basa interamente sulla logica matematica senza supervisione umana conservativa, i casi estremi si trasformano in fallimenti sistemici.
La decisione di concedere un rapporto prestito-valore del 93 percento su un asset derivato come rsETH ha dato priorità all'efficienza del capitale rispetto alla sopravvivenza. Per i normali depositanti WETH costretti ad assorbire una massiccia riduzione, la distinzione tra un contratto intelligente impeccabile e un modello di rischio difettoso offre zero conforto.
