O maior ataque hacker recente no campo DeFi teve novos desenvolvimentos. Na terça-feira, o Conselho de Segurança do Arbitrum agiu para congelar cerca de US$ 71 milhões em fundos roubados, mas o atacante reagiu quase imediatamente. O incidente começou quando um atacante desconhecido explorou uma vulnerabilidade na ponte cross-chain baseada em LayerZero do Kelp DAO, roubando 116.500 rsETH, avaliados em aproximadamente US$ 292 milhões, o que representa cerca de 18% do fornecimento total em circulação do token.
Os rsETH roubados foram então depositados como garantia no Aave V3, e cerca de US$ 196 milhões em wrapped Ethereum foram emprestados, resultando em dívidas incobráveis para o Aave que não foram causadas por ele e desencadeando uma crise de confiança no setor DeFi na semana passada. O Conselho de Segurança do Arbitrum congelou 30.766 ETH (no valor de aproximadamente US$ 71 milhões) e os transferiu para uma carteira controlada pela governança. Esta foi uma intervenção rápida e significativa.
O atacante não ficou parado. Dentro de horas após a ação do Arbitrum, o hacker começou a mover os fundos. Dados da Arkham confirmam que o hacker do Kelp DAO transferiu todos os 75.701 ETH (cerca de US$ 175 milhões) e começou a lavar o dinheiro. A ação de congelamento do Arbitrum conseguiu interceptar US$ 71 milhões, mas a parcela maior de US$ 175 milhões já começou a se mover e está sendo ativamente ocultada.
Este resultado desencadeou um debate que vai muito além do Kelp DAO e do Aave. A capacidade do Arbitrum de congelar endereços de carteira (mesmo em casos claros de roubo) levantou imediatamente questões sobre o que a imutabilidade da blockchain significa na prática e quem tem o direito de anulá-la. Para alguns, esta é uma resposta responsável de um ecossistema maduro para proteger os usuários; para outros, é exatamente o tipo de intervenção centralizada que a infraestrutura descentralizada visa evitar.
É inegável que este ataque causou danos à credibilidade geral do DeFi. A vulnerabilidade do Kelp DAO expôs os riscos de garantia dos protocolos de empréstimo, levando a uma saída de US$ 8,45 bilhões do Aave, uma queda de quase 20% no preço do token AAVE e desencadeando um confronto filosófico sobre os limites da descentralização no momento em que o ecossistema mais precisava demonstrar confiança.