Quando a Salvaguarda de Liquidação da Aave Correu Mal: Por Dentro da Falha de Oráculo de $27 Milhões

Em março de 2024, a Aave enfrentou um evento de liquidação sem precedentes que desafiou as narrativas convencionais de desastres na DeFi. Sem uma queda de mercado, sem ataques externos e sem comprometer a integridade do sistema central, aproximadamente 27 milhões de dólares em posições de utilizadores foram forçadamente liquidados em poucas horas. O incidente chocou a comunidade, mas o que o tornou realmente notável foi o culpado: não um ator malicioso, mas um mecanismo de proteção projetado exatamente para evitar esse tipo de cenário. Um total de 34 contas de utilizadores, detendo cerca de 10.938 wstETH, tiveram suas garantias liquidadas por bots on-chain, mas o protocolo em si não sofreu dívidas incobráveis — um testemunho da arquitetura robusta da Aave.

A empresa de gestão de riscos Chaos Labs foi a primeira a emitir uma declaração pública através do seu CEO Omer Goldberg, garantindo que “não foram incorridas dívidas incobráveis, e todos os utilizadores afetados serão totalmente compensados”. O fundador da Aave Labs, Stani Kulechov, reforçou essa posição nas redes sociais, esclarecendo que os sistemas centrais do protocolo permaneceram intactos. No entanto, por trás dessas garantias, escondia-se uma narrativa técnica complexa que revelou vulnerabilidades surpreendentes na forma como os sistemas DeFi gerenciam liquidações.

Quando as salvaguardas se tornam catalisadores de liquidação

A causa raiz residia num mecanismo oracular especializado chamado CAPO (Capped Asset Price Oracle), originalmente criado para prevenir manipulação de preços. Aave projetou o CAPO especificamente para combater cenários em que atores maliciosos possam inflacionar artificialmente as taxas de câmbio de ativos que geram rendimento, como o wstETH — que acumula continuamente recompensas de staking — inflacionando assim as avaliações de garantia.

O mecanismo dependia de dois parâmetros sincronizados: snapshotRatio (a taxa de câmbio no momento do snapshot, limitada a aumentos máximos de 3% a cada 3 dias) e snapshotTimestamp (o momento do snapshot, sem limite de taxa). Ambos deveriam ser atualizados em sincronia; qualquer descompasso faria com que a taxa máxima permitida calculada se desviasse perigosamente dos preços reais de mercado.

Foi exatamente isso que aconteceu. O sistema tentou aumentar o snapshotRatio de aproximadamente 1.1572 para um alvo de 1.2282, mas as restrições on-chain permitiram apenas um incremento de 1.1919. Simultaneamente, o snapshotTimestamp saltou diretamente para seu ponto de âncora de sete dias antes, sem restrição. Essa atualização assíncrona de dois parâmetros interdependentes fez com que o CAPO calculasse uma taxa máxima permitida de aproximadamente 1.1939 para o wstETH — cerca de 2,85% abaixo dos preços reais de mercado.

Em condições normais de negociação, tal desvio poderia ser considerado insignificante. No entanto, o modo como a E-Mode (Modo de Eficiência) da Aave funciona muda fundamentalmente esse cálculo. A E-Mode permite que os utilizadores utilizem índices de alavancagem significativamente superiores aos de empréstimo padrão, criando posições extremamente sensíveis a variações de preço. A subvalorização sistemática do wstETH pelo protocolo empurrou uma onda de posições anteriormente seguras além do limite de liquidação, permitindo que bots de liquidação on-chain executassem suas operações automaticamente.

Do ponto de vista de fluxo de lucros, os liquidadores capturaram aproximadamente 116 ETH em recompensas padrão, enquanto arbitradores lucraram cerca de 382 ETH explorando a diferença entre o preço oracular subvalorizado da Aave e o preço real de mercado. No total, aproximadamente 499 ETH (avaliados em cerca de 1,27 milhão de dólares na época) foram transferidos das posições dos utilizadores afetados, com o valor atual do ETH em torno de 2.110 dólares, fornecendo um contexto atualizado para esses números.

Resposta à liquidação e compensação: compromisso da Chaos Labs

O incidente colocou a Chaos Labs numa posição delicada — como entidade de gestão de riscos parcialmente responsável pela configuração do oráculo, eles agiram rapidamente para controlar os danos. Omer Goldberg comprometeu-se publicamente de que todos os utilizadores afetados receberiam compensação integral, ao mesmo tempo reconhecendo que um erro de configuração do oráculo na infraestrutura do protocolo representou “uma lição séria”.

O processo de remediação ocorreu em fases. Primeiro, a equipe reduziu os limites de empréstimo para as instâncias de wstETH afetadas (Core e Prime) para 1, realinhando manualmente os dois parâmetros do snapshot através do mecanismo Risk Steward da Aave. Após a correção dos parâmetros, os limites de empréstimo retornaram aos valores originais (Core: 180.000, Prime: 70.000).

Para a execução da compensação, a Chaos Labs recuperou aproximadamente 141,5 ETH via BuilderNet, complementados por contribuições do tesouro da DAO da Aave. A alocação total de compensação atingiu cerca de 345 ETH (aproximadamente 870.000 dólares, com base nos preços históricos), planejada para cobrir todas as contas afetadas integralmente. Esse compromisso demonstrou a determinação do ecossistema em manter a confiança dos utilizadores, apesar da falha técnica.

Aprendendo com falhas de oráculos: um padrão na história de liquidações da DeFi

Este incidente não ocorreu isoladamente. O ecossistema DeFi tem enfrentado repetidamente catástrofes relacionadas a oráculos que desencadearam liquidações em cascata e danos sistêmicos. Em fevereiro de 2024, poucas semanas antes, o protocolo de empréstimos Moonwell enfrentou uma configuração incorreta do oráculo que temporariamente precificou o cbETH em cerca de 1 dólar (valor de mercado próximo de 2.200 dólares), levando a liquidações que acumularam quase 1,8 milhão de dólares em dívidas incobráveis do protocolo. Episódios anteriores — incluindo ataques de manipulação no Mango Markets e vulnerabilidades no Euler Finance — causaram perdas que ultrapassaram centenas de milhões de dólares em conjunto.

Porém, a situação da Aave tinha características distintas. Desastres anteriores de oráculos geralmente resultaram de corrupção de dados externos ou manipulação de feeds de preços. Essa cascata de liquidações, ao contrário, remonta a uma falha na arquitetura de segurança interna — justamente o mecanismo criado para evitar manipulação. Sob certas configurações de parâmetros, essa camada de proteção transformou-se em um instrumento prejudicial.

O paradoxo do ‘Código é Lei’ em sistemas imperfeitos

A filosofia fundamental da DeFi sustenta que “Código é Lei” — contratos inteligentes executam de forma autônoma, sem intervenção humana, criando sistemas transparentes e trustless. Contudo, essa doutrina possui uma vulnerabilidade implícita: quando parâmetros se desalinham por erro técnico, e não por malícia, o código executa com a mesma ferocidade. Não há botões de pausa; não há mecanismos de intervenção humana. Utilizadores afetados enfrentaram liquidação antes mesmo de qualquer aviso.

O compromisso de compensação da Chaos Labs trata a ferida econômica imediata, mas não resolve o problema de engenharia subjacente. Fortalecer verdadeiramente o sistema exige salvaguardas adicionais: protocolos rigorosos de verificação para atualizações de parâmetros, verificações de consistência em tempo real para restrições on-chain e sistemas de monitoramento de alertas precoces capazes de notificar administradores antes que erros se propaguem em cascata de liquidações.

O evento de liquidação da Aave, embora contido por uma resposta rápida e compensação total, evidencia uma vulnerabilidade crítica que se estende por toda a DeFi. À medida que os mecanismos de liquidação se tornam mais sofisticados e as estruturas de garantia mais complexas, o risco de que mecanismos de proteção se tornem eles próprios vetores de liquidação aumenta proporcionalmente. A indústria deve enfrentar não apenas a prevenção de erros, mas também a arquitetura de fail-safes que funcionem corretamente mesmo quando os sistemas primários falharem.