Protocol de empréstimo descentralizado Aave sofreu uma liquidação anormal rara na madrugada de 11 de março. Não houve queda de mercado nem ataque externo, mas sim uma configuração incorreta do parâmetro do módulo de proteção contra manipulação CAPO, que levou a uma subestimação sistemática do valor do wstETH em 2,85%, acionando a liquidação forçada de 34 contas, aproximadamente 10.938 wstETH. A Lido também respondeu ao evento de liquidação do Aave, afirmando que a causa foi um erro de preço na oracle, sem relação com o protocolo Lido.
(Contexto anterior: Fundador do Aave: DeFi enfrentará um mercado de energia solar de 200 trilhões, robôs e financiamento espacial, com escala 15 vezes maior que os 10 maiores bancos globais)
(Informação adicional: Fundador da organização do ecossistema Aave: Aave Labs gastou 86 milhões de dólares em oito anos, com seis produtos totalmente fracassados)
Na madrugada de 11 de março, o protocolo de empréstimo descentralizado Aave passou por uma liquidação anormal rara. Sem queda de mercado ou ataque externo, posições de empréstimo de cerca de 27 milhões de dólares foram forçadamente liquidadas em poucas horas, afetando 34 contas e aproximadamente 10.938 wstETH, que foram “colhidos” por robôs de liquidação na blockchain.
Fonte: Dados de liquidação da CHAOS LABS
O parceiro de gestão de risco do Aave, Chaos Labs, foi o primeiro a responder na X, com seu CEO Omer Goldberg afirmando claramente: “Sem inadimplências, todos os usuários afetados serão totalmente compensados.” O fundador do Aave Labs, Stani Kulechov, também postou na X: “O protocolo Aave em si não foi afetado.”
Diferente da maioria dos eventos de liquidação, desta vez não houve queda de mercado, ataque externo ou distorção na fonte de dados de preços. O relatório post-mortem publicado posteriormente pela Chaos Labs esclarece a verdade.
A cotação do oracle subjacente estava completamente precisa; o verdadeiro responsável foi um módulo de segurança interno chamado CAPO (Capped Asset Price Oracle). Trata-se de um mecanismo projetado para prevenir manipulação de preços, que nesta ocasião, por sua função de “guardião”, acabou se tornando um gatilho de liquidação para os usuários.
Ao lidar com tokens de rendimento como o wstETH, que acumulam recompensas de staking continuamente, o protocolo estabeleceu um limite de velocidade de variação de preço para evitar que alguém aumente artificialmente a taxa do token e inflacione a avaliação de garantia.
O CAPO depende de dois parâmetros que operam em conjunto: snapshotRatio (taxa de snapshot, restrita na blockchain, com aumento máximo de 3% a cada 3 dias) e snapshotTimestamp (carimbo de tempo do snapshot, sem limite de taxa). Ambos deveriam ser atualizados sincronamente; se ocorrer descompasso, a “taxa máxima permitida” calculada se desviará do preço de mercado real.
Foi exatamente isso que aconteceu nesta ocasião. O sistema tentou atualizar a taxa de snapshot de aproximadamente 1,1572 para 1,2282, mas, devido à restrição de velocidade, só conseguiu avançar até 1,1919; ao mesmo tempo, o carimbo de tempo pulou diretamente para o ponto de referência de 7 dias atrás, sem obstáculos.
Com as atualizações independentes e desalinhadas dos dois parâmetros, o CAPO acabou calculando uma taxa máxima permitida para o wstETH de cerca de 1,1939, aproximadamente 2,85% abaixo do preço real de mercado.
Fonte: Fórum de governança da Chaos Labs, Post-Mortem
Para posições normais, uma discrepância de 2,85% pode ser apenas ruído; mas no modo E-Mode (modo de alta eficiência) do Aave, os usuários podem emprestar com alavancagem muito maior do que no modo normal, tornando suas posições extremamente sensíveis a variações de preço.
A subestimação sistemática do valor do wstETH levou algumas posições que estavam acima do limite de segurança a cruzar a linha de liquidação, e os robôs na blockchain realizaram o restante.
Em termos de fluxo de lucros, o liquidatário recebeu cerca de 116 ETH como recompensa normal de liquidação; além disso, aproximadamente 382 ETH vieram de lucros de arbitragem entre a avaliação subestimada pelo protocolo e o preço real de mercado.
No total, cerca de 499 ETH (aproximadamente 1,27 milhão de dólares) saíram das posições dos usuários prejudicados. O resultado a nível de protocolo foi limpo: sem inadimplências, sem dano ao fundo de liquidez, com perdas apenas para as 34 contas liquidadas.
A parte mais direta na ocorrência foi a Chaos Labs. O CEO Omer Goldberg declarou claramente na X: “Cada usuário afetado será totalmente compensado.” Ele também admitiu que a configuração do oracle de risco, como infraestrutura central do protocolo, foi uma lição séria, e a equipe revisará integralmente o processo de atualização dos parâmetros.
Fonte: Tweet de Omer Goldberg
Na fase de compensação, a Chaos Labs recuperou cerca de 141,5 ETH via BuilderNet, complementando com fundos do tesouro da DAO do Aave, com limite de compensação estimado em cerca de 345 ETH (aproximadamente 870 mil dólares), para cobrir todas as contas afetadas.
Durante a resposta emergencial, a equipe temporariamente reduziu o limite de empréstimo de wstETH para as posições afetadas (Core e Prime) para 1, usando o mecanismo Risk Steward para re-alinhar manualmente os dois parâmetros de snapshot. Após a correção, o limite de empréstimo foi restaurado ao valor original (Core: 180 mil, Prime: 70 mil).
Este não é o primeiro caso de uma falha de oracle impactando o mundo DeFi. Recentemente, em 18 de fevereiro, o protocolo Moonwell, devido a uma configuração incorreta do oracle, atribuiu temporariamente um preço de cerca de 1 dólar ao cbETH (valor de mercado cerca de 2200 dólares), resultando em inadimplência de quase 1,8 milhão de dólares. Eventos anteriores como manipulação no Mango Markets e vulnerabilidades na Euler Finance também deixaram lições de centenas de milhões de dólares.
Porém, a particularidade deste incidente do Aave é que a causa do erro não veio de dados externos, mas do próprio mecanismo de segurança interno construído para combater manipulação. Essa “barreira” acabou, sob certas condições, tornando-se uma lâmina que feriu.
“Code is Law” é o princípio do DeFi; a automação dos contratos inteligentes elimina a intervenção humana, mas também significa que qualquer erro de parâmetro pode resultar em uma operação irreversível, muitas vezes sem que o usuário perceba.
A promessa de compensação da Chaos Labs pode reparar essa fissura economicamente, mas a correção mais fundamental deve ocorrer na engenharia: validação de atualização de parâmetros, verificação de consistência nas restrições on-chain e implementação de um sistema de monitoramento em tempo real que alerte antes que o erro cause danos.
