Come è successo e cosa cambia per DeFi

Un exploit stimato intorno ai 292 milioni di dollari ha scosso il mondo delle criptovalute nel corso del weekend, mettendo in luce fragilità nelle infrastrutture della finanza decentralizzata (DeFi) e sollevando timori di effetti a catena sui protocolli di prestito.

L’analisi preliminare indica che l’attacco ha preso di mira il token rsETH di Kelp — una versione rendita di ether (ETH) — e il meccanismo che consente il trasferimento di asset tra diverse blockchain.

Secondo quanto ricostruito finora, l’attaccante avrebbe manipolato quel sistema per creare grandi quantità di token senza adeguata copertura, impiegandoli poi come garanzia per prendere in prestito e prosciugare asset reali principalmente dai mercati di prestito, con un impatto rilevante su Aave, il più grande prestatore decentralizzato.

Come è avvenuto l’attacco

L’azione è stata rivolta contro un componente bridge basato su LayerZero, un elemento d’infrastruttura che permette il trasferimento di risorse tra reti diverse. I bridge generalmente bloccano asset su una chain e coniano token equivalenti su un’altra, affidandosi a un’entità di verifica — tipicamente un oracle o un validatore — che confermi i depositi.

La piattaforma Kelp svolgeva in pratica il ruolo di verificatore. Secondo Charles Guillemet, CTO del produttore di hardware wallet Ledger, il sistema utilizzava una configurazione a firma singola, ovvero un’unica entità poteva approvare le transazioni.

Charles Guillemet ha dichiarato:

“Sembra che l’attaccante sia riuscito a firmare un messaggio, consentendogli di coniare una grande quantità di rsETH.”

Questa architettura a singolo firmatario ha permesso di generare token privi di corrispondente blocco di asset sulla chain d’origine. Una volta creati, i token sono stati rapidamente utilizzati come garanzia.

Michael Egorov, fondatore di Curve Finance, ha evidenziato lo stesso punto di debolezza nella configurazione del sistema.

“Possono succedere cose quando si ripone fiducia in una sola parte — chiunque essa sia.”

Conseguenze per i protocolli di prestito

Dopo la coniazione, i token non garantiti sono stati depositati in protocolli di prestito, principalmente in Aave, dove sono stati usati come collaterale per prendere in prestito ETH reali. Questo ha trasformato un singolo exploit in un problema di mercato molto più ampio.

Il risultato immediato è che piattaforme di lending si sono ritrovate con garanzie difficili da liquidare e con asset liquidi già prelevati: sono emersi rischi di indebitamento problematico e potenziali carenze di liquidità.

Michael Egorov ha osservato:

“Aave si è ritrovata con rsETH che non può essere realmente venduto e con ETH massimamente presi in prestito, quindi nessuno può ritirare ETH.”

In seguito all’incidente, Aave ha registrato un calo degli asset sulla piattaforma di circa 6 miliardi di dollari, mentre il token legato al protocollo ha perso quasi il 15% del valore nelle 24 ore successive, segnando un’immediata perdita di fiducia degli utenti.

Domande ancora aperte

Permangono aspetti fondamentali da chiarire, a partire dal modo in cui il validatore è stato compromesso. Poiché il sistema si appoggiava al nodo ufficiale di LayerZero, non è chiaro se si sia trattato di un attacco diretto, di un errore di configurazione o di una manipolazione.

Michael Egorov ha messo in luce l’incertezza sulle cause:

“È stato hackerato? È stato ingannato? Non lo sappiamo.”

Dal punto di vista tecnico, la portata dell’operazione fa pensare a un attore sofisticato, non a semplici script automatici.

Charles Guillemet ha commentato:

“Chiaramente non si tratta di qualche ‘script kiddie’.”

Impatto sulla fiducia e sugli sviluppi futuri

L’episodio rappresenta un nuovo colpo alla fiducia nel comparto DeFi, che appare sempre più interconnesso: una falla in un elemento infrastrutturale può propagarsi rapidamente attraverso pool e protocolli che condividono rischi.

Eventi simili hanno già mostrato come modelli di prestito non isolati amplifichino le conseguenze. Inoltre, pratiche di onboarding di nuovi asset con configurazioni fragili — come il setup 1-su-1 del verificatore — dovranno essere riviste per prevenire vulnerabilità analoghe.

Michael Egorov ha offerto una valutazione cautamente ottimistica:

“La cripto è un ambiente duro in cui molte banche non sarebbero sopravvissute — tuttavia stiamo lavorando con queste condizioni. Credo che la DeFi imparerà da questo episodio e ne uscirà più robusta.”

Nonostante i miglioramenti tecnici che seguiranno, episodi di questa portata erodono la fiducia degli investitori e potrebbero accelerare interventi regolatori, accrescere la domanda di strumenti di copertura e spostare capitali verso soluzioni percepite come meno rischiose.

Questo attacco arriva a poche settimane dall’exploit da 285 milioni di dollari che ha colpito il protocollo Drift su Solana, sottolineando come gli incidenti possano accumularsi e compromettere l’intero settore, stimato in prossimità dei 90 miliardi di dollari in asset.

Per i protocolli decentralizzati, le lezioni chiave includono l’adozione di sistemi di firma multipla e verificatori ridondanti, audit più rigorosi delle configurazioni di bridge e meccanismi di gestione del rischio che limitino l’impatto sistemico in caso di exploit.

In sintesi

• La vulnerabilità dei bridge e dei meccanismi di verifica accentua il rischio di contagio tra protocolli DeFi; per gli investitori italiani ciò significa una maggiore volatilità e il possibile bisogno di ridurre esposizioni dirette a protocolli non sufficientemente auditati.
• Il massiccio prelievo di asset liquidi evidenzia come shock di liquidità possano trasformarsi rapidamente in crisi di solvibilità per piattaforme di lending, aumentando la rilevanza degli strumenti di custodia e delle soluzioni con garanzie reali.
• Un’ondata di incidenti simili potrebbe accelerare misure regolamentari in Europa, spingendo verso requisiti più stringenti su governance, controllo degli oracoli e procedure di on‑boarding degli asset.