Aave rischia perdite fino a 230 milioni di dollari dopo l’attacco al bridge di Kelp DAO che scatena il caos nella defi

L’exploit che ha coinvolto Kelp DAO e il bridge basato su LayerZero nel corso del fine settimana mette ora a rischio la piattaforma di lending Aave, con potenziali perdite che possono arrivare fino a circa 230 milioni di dollari a seconda delle decisioni che verranno prese per gestire la situazione.

Secondo un rapporto congiunto di Aave Labs e del fornitore di servizi LlamaRisk pubblicato sul forum di governance di Aave, il problema riguarda il token di restaking liquido rsETH, emesso da Kelp DAO. Per spostare rsETH tra diverse blockchain, il protocollo utilizza un meccanismo di bridge che vincola i token su una catena e crea rappresentazioni equivalenti su un’altra.

L’attaccante ha sfruttato questa architettura con un messaggio di trasferimento contraffatto apparentemente valido: il sistema ha approvato la transazione anche se i token non sono mai stati ritirati dalla chain di invio, consentendo così la creazione di token non garantiti. In concreto, sono state emesse dalla parte Ethereum del bridge 116.500 rsETH senza adeguata copertura.

Anziché liquidare gli asset sul mercato aperto, l’aggressore ha depositato 89.567 rsETH come garanzia su Aave e ha preso in prestito circa 190 milioni di dollari in ETH e asset correlati su Ethereum e Arbitrum, esponendo così la piattaforma a collateral la cui copertura è potenzialmente compromessa.

Aave Labs ha dichiarato di aver agito rapidamente per limitare il rischio: nelle ore successive sono stati congelati i mercati di rsETH su tutte le deployment, è stato impostato il rapporto loan-to-value a zero e sono stati bloccati nuovi prestiti basati su quell’asset.

Origine tecnica dell’attacco

L’exploit deriva da debolezze nel modo in cui Kelp validava i messaggi cross-chain tramite LayerZero. Manipolando il processo di messaggistica, l’attaccante è riuscito a far sembrare alcuni asset completamente garantiti quando in realtà non lo erano, permettendo l’estrazione di valore dal sistema.

È importante sottolineare che LayerZero non è stato violato direttamente: il problema è emerso dalle assunzioni errate usate da Kelp per verificare i dati cross-chain tramite lo strato di messaggistica, una falla di implementazione piuttosto che un compromesso della rete di comunicazione.

Scenari di perdita e impatto su Aave

Le conseguenze economiche dipendono da come verrà allocato il deficit di copertura. Se le perdite venissero distribuite su tutti i detentori di rsETH, il token subirebbe un depeg stimato intorno al 15%, con un cattivo debito per Aave di circa 124 milioni di dollari.

Se invece le perdite fossero confinate alle reti Layer 2, l’effetto sarebbe più grave: il bad debt salirebbe fino a circa 230 milioni di dollari, concentrandosi soprattutto su network come Arbitrum e Mantle.

Reazioni del mercato e comportamento degli utenti

In seguito all’incidente gli utenti hanno reagito ritirando capitale: si stima che siano stati prelevati circa 6 miliardi di dollari in valore totale bloccato (TVL) da Aave, segnando una netta contrazione della liquidità disponibile sulla piattaforma.

Il rapporto precisa inoltre che la DAO treasury di Kelp detiene approssimativamente 181 milioni di dollari in asset e che sono in corso discussioni con i partecipanti all’ecosistema per definire come gestire le potenziali perdite. Finché non sarà chiarito il piano di ripartizione, l’esposizione finale di Aave rimane incerta.

Conseguenze per l’ecosistema DeFi

L’episodio evidenzia la vulnerabilità delle piattaforme di lending rispetto alle dipendenze esterne come i bridge e i servizi di messaggistica cross-chain. Quando la copertura del collateral è indebolita, aumentano i rischi di prestiti sotto-collateralizzati e di perdite sistemiche che si propagano attraverso l’intero stack finanziario decentralizzato.

Per gli operatori e gli investitori, la sfida è duplice: migliorare i controlli tecnici sulle integrazioni cross-chain e rafforzare i meccanismi di governance e assicurazione per assorbire shock simili senza indebolire la fiducia degli utenti.

Prospettive e possibili rimedi

I percorsi di mitigazione comprendono soluzioni tecniche e di governance: Kelp potrebbe proporre una ripartizione delle perdite tramite votazioni della DAO, utilizzare la propria treasury per coprire una parte del gap, o attivare fondi assicurativi interni ed esterni. Parallelamente, sono possibili azioni di recupero fondi attraverso tracciamento on-chain e misure legali contro gli indirizzi coinvolti.

A livello di prevenzione, gli sviluppatori dovranno rafforzare la validazione dei messaggi cross-chain, adottare pratiche di proof-of-reserve più trasparenti e prevedere meccanismi automatici di contenimento del rischio per evitare che singole operazioni compromettano intere piattaforme di lending.

Implicazioni per gli investitori retail e istituzionali

Per gli investitori, compresi quelli italiani che partecipano al mercato crypto tramite exchange o servizi fintech, l’evento sottolinea l’importanza della diversificazione, della comprensione del rischio tecnologico legato ai bridge e della preferenza per asset con trasparenza di riserve e solidità del modello di governance.

Gli investitori istituzionali potrebbero richiedere garanzie più stringenti e coperture assicurative per le esposizioni DeFi, mentre i regolatori europei e nazionali potrebbero intensificare le verifiche sulle piattaforme che integrano servizi cross-chain, accelerando l’evoluzione normativa del settore.

In sintesi

• Il caso mette in luce come le vulnerabilità dei bridge possano tradursi rapidamente in rischio di credito per i protocolli di lending; per il mercato significa maggiore volatilità delle garanzie e pressione sui rendimenti aggregati.
• Per gli investitori, l’evento rafforza la necessità di allocare capitale con criteri di rischio tecnico e di controparte, privilegiando strumenti con comprovate pratiche di proof-of-reserve e governance trasparente.
• Dal punto di vista regolatorio, incidenti di questo tipo possono accelerare interventi normativi a livello UE e nazionale, aumentando i requisiti di trasparenza e le aspettative su meccanismi di tutela degli utenti.
• Per le startup e le piattaforme fintech italiane che integrano soluzioni DeFi, l’impatto operativo potrebbe tradursi in costi aggiuntivi per compliance e audit tecnologici, oltre a una possibile contrazione temporanea della domanda di prodotti a leva e di rendimento.