Il mercato ha ricalibrato i prezzi della DeFi in sole 48 ore

Fino a venerdì 17 aprile, prestare stablecoin su Aave, considerata il punto di riferimento della DeFi, fruttava un rendimento annuo del 2,32%. Nel frattempo il tasso overnight della Federal Reserve era al 3,64%. Presi alla lettera, quei numeri segnalavano che il mercato stava valutando un contratto intelligente open‑source non regolamentato come meno rischioso del Treasury statunitense.

La valutazione errata del rischio

La gerarchia dei rendimenti sulle opzioni in dollari prima dell’incidente appariva incoerente. Titoli di Stato overnight: 3,64%. Un abs garantito da bitcoin e collocato da Ledn a febbraio con grado BB B-: 6,84%. Strumenti perpetui privilegiati di strategia: 11,50%. Carte di credito statunitensi: rendimenti del 21% con tassi di default intorno al 4%. E Aave, ben al di sotto di tutto questo, al 2,32%.

Secondo un’analisi di Luca Prosperi, i tassi delle stablecoin in DeFi dovrebbero includere un premio di rischio di 250–400 punti base rispetto al tasso privo di rischio, dunque tra il 6,15% e il 7,76%. In contrasto, un rapporto della Bank of Canada del 2 aprile citava il tasso di prestiti non performanti dello 0,00% su Aave come prova che l’architettura della DeFi elimina la rischiosità grazie a requisiti rigorosi di collateral e meccanismi di rimedio basati sui prezzi.

Il problema era semplice: o la DeFi aveva davvero risolto il rischio di credito, o il mercato aveva smesso di prezzarlo. Solo una delle due ipotesi poteva essere corretta, e l’evento del weekend ha dimostrato quale.

L’attacco e la rapida rivalutazione

Il 18 aprile un attaccante ha sfruttato il bridge cross‑chain alimentato da LayerZero usato da Kelp DAO per coniare circa 116.500 token rsETH non garantiti — pari a circa il 18% dell’offerta circolante e valutati intorno a 292 milioni di dollari. Questi token sintetici sono stati poi depositati come collaterale su Aave, permettendo all’attaccante di prendere in prestito asset reali per un valore stimato tra 190 e 230 milioni di dollari contro collateral che, nel momento critico, non esisteva.

Nel report sull’incidente, Aave ha riconosciuto che il protocollo ha funzionato secondo le specifiche: la carenza era strutturale, non tecnica. Successivamente Kelp e LayerZero si sono accusati a vicenda per la configurazione 1/1 dei validatori che ha reso l’exploit banale.

La contaminazione è stata immediata. I protocolli di DeFi sono interoperabili per progettazione e il fenomeno del “looping” — prendere in prestito su una piattaforma e riutilizzare quei fondi come collaterale su un’altra — ha amplificato l’impatto: un colpo a Aave si è tradotto in un colpo per tutto l’ecosistema che poggia su Aave.

Storicamente circa il 20% del volume di prestito di Aave derivava da leva ricorsiva. In 48 ore sono usciti dalla piattaforma tra i 6 e i 10 miliardi di dollari netti. L’utilizzo dei pool su WETH, USDT e USDC ha raggiunto il 100%. I depositanti non sono riusciti a prelevare; i prenditori non hanno trovato liquidità in stablecoin. Molti utenti, bloccati, hanno preso in prestito altri 300 milioni di dollari contro i propri depositi di stablecoin vincolati al 75% di LTV, spesso realizzando perdite solo per ottenere liquidità.

I tassi si sono adeguati di conseguenza: i rendimenti per i depositi in stablecoin su Aave sono passati dal 3–6% pre‑attacco a circa il 13,4% in due giorni. Il vault USDC di Morpho, che alimenta il prodotto di prestito al consumatore di Coinbase, è salito dal 4,4% di APR del 18 aprile al 10,81% il giorno successivo. La capitalizzazione totale bloccata (TVL) nella top 20 delle catene è scesa di oltre 13 miliardi di dollari.

Nessuna procedura fallimentare, nessun tribunale

Questa è la parte destinata a restare fuori dai titoli, ma che gli allocatori devono comprendere: non esiste una legge fallimentare applicabile all’interno di un protocollo DeFi. Chi riesce a ritirarsi per primo conserva tutto; chi resta ultimo spesso perde e talvolta sopporta una quota di perdite sproporzionata.

I creditori regolamentati hanno l’obbligo legale di sospendere le operazioni quando non sono più in grado di coprire le passività, e i tribunali fallimentari possono recuperare ricchezze trasferite indebitamente. Nei processi di ristrutturazione di Celsius, BlockFi e FTX i creditori hanno recuperato asset e i responsabili sono stati chiamati a rispondere davanti a un giudice. In DeFi queste leve non esistono: non c’è recupero giudiziario né responsabilità legale standard.

Questo ha conseguenze dirette sulla misurazione del rischio. Se si può stimare la perdita totale ma non prevedere come sarà redistribuita, non si può misurare con precisione l’esposizione individuale: può risultare nulla oppure totale, a seconda della velocità delle tue azioni e di quelle degli altri partecipanti.

Quali sono le implicazioni per il mercato e gli investitori

La DeFi non sparirà: la sua architettura offre utilità reali e i mercati permissionless hanno sempre avuto un ruolo trasversale nelle economie finanziarie. Tuttavia, non sono mai stati privi di rischio e hanno sempre richiesto un premio rispetto agli equivalenti regolamentati.

Per gli allocatori istituzionali che stanno rivedendo l’esposizione alla DeFi per il prossimo anno, il messaggio è chiaro: il rendimento del 2,32% offerto da Aave prima del weekend non rifletteva integralmente il rischio sottostante. Il mercato ha già iniziato a correggere quella valutazione.

Le risposte plausibili includono una combinazione di misure: rafforzare i requisiti di liquidità, introdurre limiti di esposizione a protocolli soggetti a rischio di bridge, richiedere modelli di stress‑test onchain per le posizioni ricorsive e favorire coperture assicurative strutturate. Allo stesso tempo, gli interventi normativi potrebbero focalizzarsi su trasparenza dei meccanismi di governance, requisiti minimi per i custodi e regole sui bridge cross‑chain.

Per gli investitori italiani e i gestori patrimoniali, va considerato anche il contesto operativo: la maggior parte della regolamentazione rilevante proviene da giurisdizioni estere — soprattutto dagli Stati Uniti — e le dinamiche di liquidità in USDC o altre stablecoin ancorate al dollaro possono avere impatti diretti sui portafogli esposti in valuta estera o su prodotti che integrano prestiti crypto nei servizi al consumatore.

Infine, questa crisi dimostra l’importanza di includere nello scenario di rischio non solo la probabilità dell’evento, ma anche la modalità di distribuzione delle perdite in assenza di meccanismi legali di risoluzione. Questo richiede approcci di risk management più conservativi e strumenti di monitoraggio della liquidità in tempo reale.

Conclusione

Il mercato ha rimesso in equilibrio in tempo reale ciò che i prezzi precedenti non riflettevano: la rischiosità delle posizioni onchain e la fragilità delle architetture basate su bridge e leva ricorsiva. Dove i tassi della DeFi si stabilizzeranno d’ora in poi dipenderà dall’interazione tra domanda di liquidità, interventi tecnici dei protocolli e risposte regolamentari.

In sintesi

• Il riaggiustamento dei tassi dopo l’attacco evidenzia che i rendimenti della DeFi devono incorporare un premio per la fragilità strutturale: gli investitori dovrebbero rivalutare i modelli di pricing e aumentare i buffer di liquidità.
• Per gli asset manager italiani, un incremento dei costi di funding onchain potrebbe rendere meno competitivo l’arbitraggio tra prodotti tradizionali e soluzioni decentralizzate; è consigliabile stressare portafogli multi‑asset includendo scenari di congestione dei bridge.
• L’evento rafforza l’argomento per regole europee e nazionali chiare su custodia, interoperabilità e trasparenza dei protocolli: una cornice normativa potrebbe ridurre il premio di rischio richiesto dagli investitori istituzionali.