A conclusão mais simples após uma exploração de US$ 290 milhões e uma queda de aproximadamente US$ 13 bilhões no valor total bloqueado em DeFi é que as finanças descentralizadas estão quebradas novamente. Também é provavelmente a mais preguiçosa.
O Exploração da KelpDAO durante o final de semana foi sério. Parece ter começado com um ataque direcionado à infraestrutura usada na pilha de verificação da LayerZero, não um erro em contrato inteligente como comumente visto em outros ataques. A LayerZero preliminarmente vinculou o incidente ao Grupo Lazarus da Coreia do Norte, e afirmou que o ataque teve sucesso porque a Kelp optou por uma configuração de verificador único, apesar das recomendações repetidas para utilizar uma configuração mais resistente. A exploração deixou o rsETH (um token de staking líquido emitido pela KelpDAO) sem lastro e desencadeou temores de que dívidas incobráveis se propagassem para os mercados de empréstimos, especialmente para o pool WETH da Aave (onde os usuários tomam emprestado ether encapsulado com garantia).
E, ainda assim, a história mais interessante não é que o DeFi tenha sido impactado. É que o DeFi ainda está aqui.
O capital fugiu rapidamente após a violação. Somente a Aave experimentou US$ 8,45 bilhões em saídas ao longo de 48 horas, enquanto o TVL mais amplo do DeFi caiu para a faixa média dos US$ 80 bilhões, aproximadamente onde o setor estava por volta deste período no ano passado. Em outras palavras, esta foi uma reavaliação acentuada do risco, não tão destrutiva quanto alguns estão se saindo bem.
Aave, o maior mercado de empréstimos DeFi, havia acumulado uma quantidade significativa de rsETH como garantia nas semanas anteriores à exploração, à medida que os usuários construíam posições alavancadas. A escala dessa queda no TVL também merece algum contexto. Um roubo de US$ 292 milhões não produz diretamente uma queda de US$ 13 bilhões, a menos que uma parcela significativa desse TVL já fosse garantia reciclada. Grande parte da exposição da ETH da Aave entrando no fim de semana estava concentrada em estratégias de looping, onde os usuários depositam tokens líquidos de restaking, tomam ETH emprestado contra eles, trocam por mais tokens de restaking e repetem o processo. Em outras palavras, o mesmo montante de ativos pode ser contabilizado várias vezes no cálculo do TVL. Essa alavancagem inflaciona o TVL na subida e se desfaz abruptamente durante eventos como este. A perda líquida real de capital provavelmente é uma fração do valor divulgado, embora o montante exato seja difícil de isolar devido à profunda incorporação das estratégias de looping nos cálculos do TVL do DeFi.
Essas estratégias foram, em parte, um produto de um ambiente de rendimentos que já havia deixado de fazer sentido. No início de abril, Aave estava oferecendo 2,61% de APY em depósitos de USDC, abaixo dos 3,14% disponíveis em dinheiro ocioso na Interactive Brokers, uma corretora financeira tradicional. O prêmio de risco que historicamente justificava a complexidade da DeFi e a exposição a contratos inteligentes havia desaparecido em grande parte. Com o rendimento orgânico insuficiente, a alavancagem preencheu a lacuna, e essa concentração foi o que tornou a contaminação do rsETH tão prejudicial quanto foi. Dados da DefiLlama mostra que os saldos de reETH na Aave cresceram rapidamente nas semanas que antecederam o exploit, atingindo quase 580.000 tokens (US$ 1,3 bilhão), evidência de que o acúmulo de alavancagem tornou o desencadeamento subsequente tão abrupto.
O mercado cripto já sobreviveu a situações piores
A expressão “DeFi está morto” é recorrente após cada hack, pois as falhas são visíveis e imediatas, enquanto a recuperação é mais lenta e menos cinematográfica. Mas o universo cripto já enfrentou situações piores. Terra colapsou e dissipou a confiança em todo o setor. Wormhole e Ronin perderam cerca de US$ 1 bilhão cada. Multichain desmoronou.
“A DeFi não morreu quando a Terra colapsou e causou bilhões em liquidações e perdas,” escreveu um trader pseudônimo no X. “DeFi não morreu quando Wormhole e Ronin foram drenados em cerca de US$ 1 bilhão. DeFi não morreu quando os ativos da ponte Multichain foram roubados.”
Hackeamentos históricos em DeFi
Mais recentemente, a Bybit sofreu o que foi amplamente descrito como o maior roubo de criptomoedas já registrado, perdendo cerca de US$ 1,5 bilhão em fevereiro passado, mas continuou operando, processou um aumento nas retiradas, restaurou reservas e ainda lida com bilhões de dólares em volume de negociação a cada dia.
A reavaliação da confiança
0xNGMI, fundador da DefiLlama, disse à CoinDesk que as perdas são significativas, mas improváveis de ser existenciais. “Aave possui vários recursos para cobrir a perda, incluindo seu tesouro e a obtenção de empréstimos, e acredito que esses terão que ser usados para proteger o protocolo”, afirmou. “No geral, trata-se de uma perda significativa, porém que será recuperada. A maior questão será o impacto nos prêmios de risco atribuídos à DeFi.”
Esses prêmios de risco são um custo real e duradouro. O capital exigirá mais compensação para permanecer em sistemas onchain cujo vetor de ataque agora se estende além do código
Ainda assim, o reajuste de preços não é o mesmo que colapso. “Parte do dinheiro vai voltar”, disse 0xNGMI. “Já vimos isso antes na Aave quando surgiram rumores de um hack. Sempre é a melhor estratégia retirar e redepositar depois, pois o custo disso é ínfimo e a recompensa muito grande.” Alguns depósitos não retornarão, mas historicamente os saques durante eventos de estresse se revertam à medida que as condições se estabilizam, como evidenciado após o colapso da Terra em 2021.
Também há evidências de que o capital não está simplesmente saindo do DeFi. Ele está se rotacionando. A Spark oferece um exemplo. O líder de estratégia da Spark, que atende pelo pseudônimo monetsupply.eth,disse que o protocolo retirou a listagem do rsETH e de outros ativos de baixa utilização em janeiro, uma medida que pode ter custado negócios e atividade de looping de ETH para a Aave na época. Sob as condições atuais, no entanto, a SparkLend ainda possui ampla liquidez para retirada de ETH, enquanto a Aave está enfrentando escassez em vários mercados. Durante o fim de semana, o TVL da Spark saltou de US$ 1,8 bilhão para US$ 2,9 bilhões, demonstrando uma clara rotação de capital.
A crítica mais interessante, levantada por alguns desenvolvedores após a exploração, não é que a DeFi tenha falhado, mas sim que ela se tornou demasiado tímida. Se o setor vai pedir aos usuários que suportem riscos de infraestrutura, riscos de contratos inteligentes e riscos de governança para rendimentos baixos de um dígito, o conjunto de produtos começa a parecer menos atraente. Com isso em mente, a Kelp não é o fim da DeFi. É um alerta para os desenvolvedores construírem sistemas mais seguros, enquanto continuam a oferecer casos de uso reais.
