Criptovaluta.it® Ultime Notizie Bitcoin e Crypto News | Criptovalute Oggi
È lunedì, la tempesta si è placata e possiamo fare la conta dei danni di quanto accaduto nella serata di sabato 18 aprile, quando un pesante hack ha colpito il bridge di Kelp DAO, portando perdite ingenti e innescando un effetto a catena che ha coinvolto anche Aave e altri protocolli decentralizzati. Nel complesso le ferite causate dall’exploit si estendono a oltre 13 miliardi di dollari, senza considerare il pessimo impatto reputazionale sul settore.
A rimetterci più di tutti per il momento sembra essere Aave, che nel giro di appena 2 giorni ha visto crollare il proprio token del -20% sui grafici, con in parallelo anche una fuga di capitali sulla piattaforma di lending. Kelp DAO invece, che ha dato origine all’incidente, deve ancora intervenire e spiegare come verrà colmato il bad debt che sta circolando nell’ecosistema DeFi a causa della diffusione di token rsETH privi di collaterale. Facciamo il punto della situazione qui di seguito.
L’hack a Kelp DAO e il buco su Aave: cos’è successo?
C’è stato un grave attacco hacker a Kelp DAO che ha permesso a un utente malintenzionato di exploitare il bridge dell’infrastruttura (gestita da LayerZero) e rubare la bellezza di 116.500 rsETH, per un valore di circa 290 milioni di dollari. Questi fondi sono stati immediatamente depositati – in parte – sul protocollo Aave, dove l’hacker ha preso in prestito WETH e altri asset più liquidi da vendere sul mercato.
Per la precisione 53.000 rsETH sono finiti su Aave V3, rete Ethereum Mainnet, da cui sono stati prelevati circa 52.458 WETH. La posizione presenta un health factor di 1.03, che di per sé non è il vero nodo della questione in quanto in caso di liquidazione, vista la mancanza di un collaterale agganciato ai token rsETH rubati, si potrebbe generare un pesante bad debt (debito destinato a non essere ripagato).
Danni anche su altri protocolli DeFi
Non finisce qui: l’hacker avrebbe depositato anche altri 30.700 rsETH circa sui mercati di Aave relativi alla blockchain di Arbitrum, causando altri 72 milioni di dollari di potenziale buco a causa del borrow generato. A questi si aggiungono 17.400 rsETH impegnati su Compound, con un ulteriore emorragia da 40 milioni di dollari.
In pratica l’hacker ha tentato in tutti i modi di ottenere più liquidità possibile su tutti i money market che supportano attivamente il token in versione liquid staking di Kelp DAO. Ora tutto il debito innescato risulta tossico per quelle stesse piattaforme, che dovranno decidere in che modo colmare la voragine.
In molti si aspettano che debba essere Kelp DAO ad assumersi le responsabilità e pagare il danno di tasca propria (o tramite le holdings degli utenti). Per il momento però, i redeem di rsETH rimangono bloccati e non ci sono comunicazioni ufficiali dalla società.
La fuga di capitali dai protocolli di lending in DeFi
L’hack a Kelp DAO e il modo in cui è rapidamente degenerata la situazione su Aave, ha portato a un fuggi fuggi generale su tutti i protocolli di prestito della DeFi. Secondo quanto riportato da Lookonchain, la perdita complessiva di TVL ammonta a 13,2 miliardi di dollari, con un bilancio passato da 99,5 miliardi di dollari a 86,3 miliardi circa.
Aave da sola ha visto uscire oltre 8,4 miliardi di dollari, seguita da Morpho che ha perso 1,1 miliardi, Sky con 600 milioni e decine di altri protocolli minori con outflow meno significativi in valori assoluti.
Oltretutto, l’hack non si è fermato solo all’ecosistema EVM ma si è esteso anche sulla chain Solana, dove protocolli come Kamino Finance mostrano un tasso di utilizzo dei fondi in borrow al 100% su diverse pool, il che significa che molti fondi non possono essere prelevati da chi ha fornito liquidità.
La reazione degli utenti dopo l’incidente è stata immediata, e forse anche proporzionata al danno subito, vista la fuga di capitali generalizzata per un hack che avrà ripercussioni su tutto il settore.
Quali sono le possibili soluzioni dopo l’hack a Kelp DAO?
Ci sono diverse ipotesi di intervento che circolano nell’aria negli ultimi giorni. Riportiamo a tal proposito cosa non formalmente proposto dal co-fondatore di DeFiLlama, che ha parlato di 3 potenziali soluzioni.
La prima è quella di socializzare la perdita tra tutti gli holder di rsETH, cosa che comporterebbe un haircut del 18,5% circa, e una rimanenza di debito tossica da 216 milioni su Aave, il quale sarebbe in parte coperto dal buffer di liquidità Umbrella e in rimanenza verosimilmente dalla Treasury del protocollo. Si ipotizza anche una vendita del token $AAVE per coprire eventualmente altri buchi.
La seconda opzione è quella di lasciare che rsETH perda valore e venga sostanzialmente ruggato, con Kelp DAO che non interviene per garantire quel collaterale a sostegno degli oltre 116.500 rsETH che circolano drammaticamente nelle pool DeFi. Questo porterebbe il token praticamente a zero, ma lascerebbe comunque 341 milioni circa di bad debt, con Aave che dovrebbe coprire tutte le perdite personali da sola.
L’ultimo scenario possibile riguarda l’ipotesi di “tornare indietro nel tempo” e fare finta che l’hack non sia mai successo, con uno snapshot pre-hack che permetterebbe di ricostruire la distribuzione di rsETH precedente all’attacco e rimborsare gli utenti in base a quello stato. Si tratta però di una soluzione estremamente complessa da implementare, visto che i fondi sono già stati movimentati su varie chain e utilizzati in diversi protocolli DeFi, incluso Aave.
L’ennesimo hack che compromette la fiducia degli utenti nel mondo DeFi
Il 2026 per il momento si sta rivelando come l’anno degli hack e degli incidenti nelle piazze decentralizzate, in un mood che i più bravi paragonano al pessimo clima che si respirava nel 2022, per eccellenza il periodo più buio nella storia degli exploit.
Tanti continuano a dare la colpa alla Corea del Nord, evidentemente implicata in questi contesti criminosi, senza però pensare che puntare il dito contro qualcuno non aiuterà a risolvere le cose. Lazarus è da anni una minaccia per i protocolli decentralizzati (e non solo) e non serve ricordare per l’ennesima volta gli attori contro cui ci si sta – malamente – difendendo.
Servirebbero piuttosto più audit di sicurezza, più competenza nella scrittura dei codici che sorreggono i muri portanti dell’ecosistema decentralizzato, e forse meno fretta nel lanciare i protocolli, nonostante il tempo giochi un ruolo cruciale in questo mondo.
C’è da fare un grande sforzo a monte, ed evitare di ignorare il problema e sperare che non ci saranno mai incidenti, visto l’ormai sanguinoso track record che ci troviamo davanti. Soprattutto – aggiunge chi vi sta scrivendo – c’è da fare molta attenzione in questo periodo storico in cui sempre più sviluppatori stanno lanciando piattaforme DeFi con l’aiuto dell’intelligenza artificiale, lasciando però inevitabilmente qualche falla che, prima o poi, potrebbe essere sfruttata.
