DeFi in crisi: attacco da $290 milioni travolge Aave e Kelp DAO

Il settore della finanza decentralizzata (DeFi) è sotto shock dopo un attacco informatico da $290 milioni, attribuito a hacker legati alla Corea del Nord. L’episodio ha innescato una reazione a catena che ha coinvolto Aave, uno dei protocolli più importanti del settore, con una fuga di capitali senza precedenti.

Sabato scorso, gli aggressori hanno sfruttato una vulnerabilità nel Layer Zero bridge per rubare il token rsETH di Kelp DAO, un protocollo di liquid staking. Il bottino è stato poi depositato su Aave e altri servizi di lending, dove sono stati ottenuti prestiti per $236 milioni in WETH. La mancanza di liquidità e il panico degli utenti hanno spinto a massicci prelievi di collateral, con oltre $9 miliardi già usciti da Aave in pochi giorni.

Il protocollo ora rischia di accumulare centinaia di milioni di dollari di debiti inesigibili, mentre la comunità si interroga su chi dovrà coprire le perdite. La sicurezza dei bridge decentralizzati, come Layer Zero, è finita nel mirino, con accuse di negligenza e richieste di maggiore trasparenza.

Come è avvenuto l’attacco

Secondo Layer Zero, l’attacco sarebbe stato portato avanti dal Lazarus Group, un collettivo di hacker sponsorizzato dallo Stato nordcoreano. Gli aggressori hanno sfruttato una configurazione debole di Kelp DAO, che utilizzava un sistema di verifica 1-di-1 per il bridging dei token. Questo modello, che affida la sicurezza agli emittenti degli asset, si è rivelato un punto debole critico.

In una dichiarazione su X, Kelp DAO ha ammesso di aver rilevato attività sospette e ha sospeso i contratti di rsETH su mainnet e Layer 2 per indagini. Tuttavia, non sono ancora emerse spiegazioni dettagliate sull’accaduto, alimentando ulteriori dubbi sulla gestione della sicurezza.

Le accuse di Layer Zero: un attacco sofisticato

Layer Zero sostiene che l’attacco sia avvenuto tramite un RPC-spoofing, una tecnica che manipola i nodi che leggono i dati blockchain. Gli aggressori avrebbero iniettato informazioni dannose solo nel DVN (Decentralized Verifier Network) bersaglio, bypassando i sistemi di monitoraggio. Inoltre, un attacco DDoS ha saturato gli altri RPC, costringendo il sistema a fare affidamento su quelli compromessi.

Tuttavia, questa versione è stata contestata da banteg, sviluppatore veterano di DeFi, che ha definito l’attacco come un intrusione mirata dall’interno. Secondo lui, la descrizione di Layer Zero è fuorviante e rischia di nascondere le vere responsabilità.

Le conseguenze per DeFi e Aave

Oltre al furto iniziale, l’impatto più grave si è registrato su Aave, il protocollo di lending più utilizzato nel settore. Gli aggressori, invece di vendere il rsETH rubato (che avrebbe fatto crollare il prezzo), hanno scelto di utilizzarlo come collateral per ottenere prestiti in WETH. Questo ha innescato una corsa agli sportelli virtuale, con gli utenti che hanno ritirato i propri asset per paura di ulteriori perdite.

Secondo PeckShield, gli hacker hanno depositato il rsETH rubato su Aave V3, Compound V3 ed Euler, ottenendo prestiti per un totale di $236 milioni. La fuga di capitali ha già superato i $9 miliardi, e il protocollo potrebbe dover affrontare un deficit di liquidità di centinaia di milioni.

La comunità ora chiede maggiore trasparenza e responsabilità. La sicurezza dei bridge decentralizzati, fondamentali per l’interoperabilità blockchain, è diventata una priorità assoluta. Nel frattempo, Aave e Kelp DAO sono sotto pressione per fornire risposte concrete e rassicurare gli utenti.