As duas maiores explorações DeFi dos últimos dois meses têm uma coisa em comum. Elas utilizaram uma ferramenta que não existe no XRP Ledger.
Thorchain perdeu aproximadamente US$ 10,8 milhões em 15 de maio devido a um ataque cross-chain que drenou fundos nas redes Bitcoin, Ethereum, BSC e Base. O Drift Protocol, uma exchange perpétua descentralizada baseada em Solana, e o KelpDAO, um protocolo de restaking líquido na Ethereum, juntos responderam por mais de US$ 600 milhões em perdas somente até abril.
As pontes cross-chain perderam mais de US$ 2,8 bilhões devido a ataques desde 2021, segundo a Chainalysis. E uma parcela significativa dessas explorações utilizou alguma variante do mesmo mecanismo: empréstimos relâmpago.
Um empréstimo relâmpago é um recurso de contrato inteligente que permite a um trader tomar emprestado milhões de dólares sem garantia, sob a condição de que o empréstimo seja quitado dentro da mesma transação. Os casos de uso legítimos incluem arbitragem entre exchanges, trocas de garantias sem desfazer posições, e bots de liquidação que mantêm a solvência nos mercados de crédito.
O padrão de ataque é a mesma mecânica apontada na direção errada.
Um tomador de empréstimo realiza o saque, utiliza os fundos para manipular um oráculo ou esvaziar uma pool mal projetada, lucra com a manipulação e reembolsa o empréstimo, tudo isso antes que a transação seja finalizada. Se qualquer etapa falhar, toda a sequência é revertida, de modo que o atacante arrisca apenas as taxas de gás.
O XRP Ledger não permite que isso funcione. Uma proposta de emenda registrada no repositório de padrões da XRPL no início desta semana, que propõe pools de liquidez concentrada e estilo StableSwap para o market maker automático nativo da cadeia, incluiu uma única linha em sua seção de Considerações de Segurança: “Ataques de empréstimos relâmpago são estruturalmente impossíveis. As transações XRPL são atômicas, sem chamadas intra-transação compostas.”
O que isso significa é que as transações XRPL ou são totalmente bem-sucedidas ou totalmente falham, assim como uma transação Ethereum. Mas, ao contrário do Ethereum, uma transação XRPL não pode chamar outro contrato durante sua execução. A sequência de pegar emprestado-manipular-reembolsar que define um ataque de flash loan requer pelo menos três operações aninhadas dentro de um único envelope de transação.
Essa é uma escolha arquitetônica significativa, e possui um custo. Flash loans não são apenas uma ferramenta de ataque. Eles se tornaram um componente estrutural do DeFi na Ethereum, com a Aave, dYdX e outros protocolos importantes oferecendo-os como um produto. Traders de arbitragem utilizam flash loans para eliminar diferenças de preço entre exchanges em uma única ação atômica.
Bots de liquidação os utilizam para manter posições de empréstimo sobrecolateralizadas solventes. Usuários sofisticados de DeFi os empregam para trocas de garantias que, de outra forma, exigiriam capital que fica imobilizado por horas. A XRPL abre mão de tudo isso em troca de eliminar completamente a classe de ataque.
Durante a maior parte da história do XRPL, a troca não importava porque a pegada DeFi da cadeia era pequena. Isso está mudando. Os ativos do mundo real tokenizados no XRP Ledger ultrapassaram US$ 3 bilhões em valor total, incluindo o piloto Ripple-JPMorgan-Mastercard-Ondo Finance no mês passado que processou um resgate tokenizado do Tesouro dos EUA em menos de cinco segundos.
O projeto de emenda do AMM, se aprovado, fecharia a lacuna de eficiência de capital que tem mantido a DeFi do XRPL atrás da Ethereum, abrindo a rede para um conjunto mais amplo de estratégias de negociação e rendimento.
Se a emenda do AMM for aprovada e a liquidez DeFi do XRPL crescer em direção a algo que o capital institucional possa alocar em escala, a questão passa a ser se a resistência estrutural a exploits é uma vantagem competitiva real ou apenas uma característica que as instituições ignoram em favor de onde a liquidez já está.
