Il team di sicurezza di Aave, il protocollo leader nel settore DeFi, si dimette: chi riuscirà a far fronte al prossimo evento "cigno nero" nel mercato ribassista?

Titolo originale: "Il più grande protocollo DeFi, Aave, vede il proprio team di sicurezza dare le dimissioni: chi gestirà il prossimo 'cigno nero' nel mercato ribassista?"

Fonte originale: DeepTech TechFlow

Il più grande protocollo di prestito della DeFi sta vivendo un silenzioso abbandono da parte del team di sicurezza.

Ieri, una società chiamata Chaos Labs ha inviato una lettera di addio in cui annunciava la cessazione della sua collaborazione con Aave. Probabilmente la maggior parte degli utenti non ha mai sentito parlare di questa azienda, ma negli ultimi tre anni è stata proprio lei a stabilire ogni tasso di collateralizzazione, soglia di liquidazione e parametro di rischio per ogni prestito su Aave.

Hanno inoltre sviluppato un sistema automatizzato denominato Risk Oracle, in grado di adeguare i parametri in tempo reale in base alle condizioni di mercato, consentendo ad Aave di espandersi da pochi mercati a oltre 250 mercati su 19 blockchain. Ha gestito un fondo di centinaia di miliardi di dollari per tre anni, senza alcun caso di insolvenza.

In sostanza, ciò che funziona su Aave sono gli smart contract, ma i dati effettivi contenuti nei contratti sono sempre stati monitorati da Chaos Labs.

La lettera di addio del CEO Omer Goldberg era ben scritta e descriveva in dettaglio i risultati raggiunti. Il TVL è passato da 5,2 miliardi di dollari a oltre 26 miliardi di dollari, con asset/recharge">depositi totali superiori a 2,5 trilioni di dollari e liquidazioni per oltre 2 miliardi di dollari...

Poi ha detto: «Abbiamo proposto noi stessi di rescindere il contratto». Nessuno li ha spinti a farlo, e il contratto non era in scadenza. Allo stesso tempo, il fondatore di Aave, Stani Kulechov, ha reagito con calma, affermando che il protocollo funziona come di consueto e che un altro fornitore di servizi di gestione del rischio, LlamaRisk, ne assumerà la gestione.

Sembra che non sia successo nulla.

Tuttavia, il fatto che un team di controllo dei rischi, che non ha registrato alcun incidente negli ultimi tre anni, abbia deciso di abbandonare volontariamente il più grande protocollo di prestito DeFi è ciò che nel mondo della finanza tradizionale verrebbe definito un cattivo presagio.

Nella dichiarazione, Goldberg ha affermato che il disaccordo non riguardava il denaro, bensì le differenze fondamentali nei principi di gestione del rischio tra le due parti.

Meno soldi, più risentimento

Per trattenere il team, Aave Labs ha proposto di aumentare il budget annuale di Chaos Labs da 3 a 5 milioni di dollari. Tuttavia, Chaos Labs ha deciso comunque di andarsene.

Nella dichiarazione, Goldberg ha addotto tre motivi che dovrebbero portare alle dimissioni, ma dopo averli letti vi accorgerete che conducono tutti alla stessa conclusione.

La prima è il denaro. Il fatturato annuo di Aave nel 2025 è stato di 142 milioni di dollari, con un budget destinato alla gestione dei rischi pari a 3 milioni di dollari, corrispondente al 2%. Il settore bancario tradizionale destina solitamente dal 6% al 10% del proprio budget alla conformità e alla gestione dei rischi.

Goldberg ha fatto notare che negli ultimi tre anni questa iniziativa aveva generato perdite e che, nonostante l'aumento del budget a 5 milioni di dollari, continuavano a registrare risultati in perdita. Riteneva che una cifra minima ragionevole fosse di 8 milioni di dollari. La tesoreria di Aave disponeva di 140 milioni di dollari e Aave Labs aveva appena approvato una proposta di finanziamento di 50 milioni di dollari a proprio favore, quindi sembra che il protocollo non sia in difficoltà finanziarie, ma semplicemente riluttante a stanziare una somma così ingente per il team di sicurezza.

Il secondo è l'azione. Aave sta attualmente passando dalla versione 3 alla versione 4, con una riscrittura completa dell'architettura di base, degli smart contract e della logica di liquidazione. Goldberg ha fatto notare che l'unica cosa che V4 e V3 hanno in comune è il nome. Durante l'aggiornamento, entrambi i sistemi funzioneranno in parallelo e il carico di lavoro relativo alla gestione dei rischi non si dimezzerà, ma raddoppierà.

Il terzo è la responsabilità. Le responsabilità legali dei professionisti del rischio nel settore DeFi non sono attualmente definite, in assenza di un quadro normativo o di disposizioni di salvaguardia. Quando tutto va per il meglio, nessuno ti nota, ma quando qualcosa va storto, sei il primo a doverne rispondere. Come afferma lo stesso Goldberg, se il potenziale di guadagno è marginale e il rischio di perdita non ha un limite minimo, continuare a operare è di per sé una decisione sbagliata in termini di gestione del rischio.

L'autore ritiene che questa affermazione sia difficile da confutare. Un accordo che prevede un fatturato annuo di 140 milioni di dollari, stanzia il 2% del budget a un team incaricato di gestire un patrimonio del valore di miliardi e poi gli impone di svolgere il doppio del lavoro, senza alcuna tutela legale in caso di problemi.

Cosa faresti in quella situazione?

Naturalmente, l'altra versione dei fatti è diversa. La risposta di Kulechov, fondatore di Aave Labs, su X lascia intendere che Chaos Labs abbia recentemente ridimensionato la propria attività di consulenza in materia di rischio e abbia già iniziato a ridurre la collaborazione con altri protocolli.

Ciò implica che le motivazioni espresse nella lettera d'addio servano piuttosto a fornire una giustificazione dignitosa per la propria partenza.

Che si tratti di un disaccordo sui principi o di un caso in cui le promesse superano i risultati, chi non è coinvolto non può giudicare. Ma una cosa è certa: Chaos Labs non è l'unica ad essersene andata.

Affrontare un'improvvisa pioggia in un mercato ribassista

Aave si chiama ancora Aave, ma il gruppo di persone che l'ha creato se n'è andato gradualmente negli ultimi due mesi.

Nel febbraio di quest'anno, il team di sviluppo principale di Aave V3, BGD Labs, ha annunciato che non avrebbe rinnovato il proprio contratto. Questa società è stata fondata dall'ex CTO di Aave, Ernesto Boado, e gran parte del codice, del sistema di governance e dell'implementazione cross-chain di V3 è opera sua. Dopo quattro anni, se ne sono andati alla scadenza del contratto.

La motivazione fornita da BGD era chiara. Aave Labs sta concentrando il potere nelle proprie mani: lo sviluppo della versione 4, le risorse del marchio e gli account sui social sono tutti gestiti da Aave Labs. La BGD riteneva di non avere il diritto di partecipare alla progettazione, ma di essere ritenuta responsabile dei risultati. In un'azienda tradizionale, questo fenomeno viene definito "essere messo da parte".

Un mese dopo, anche ACI, il fornitore di servizi più attivo nel sistema di governance di Aave, ha annunciato il proprio ritiro. Questo team di otto persone ha promosso il 61% delle proposte di governance di Aave nell'arco di tre anni. Il fondatore Marc Zeller ha affermato chiaramente nella sua lettera di addio che Aave Labs potrebbe avvalersi del proprio diritto di voto per approvare il proprio bilancio, rendendo superflui i fornitori di servizi indipendenti all'interno di questo sistema.

Due lettere d'addio in due mesi: in una si diceva di essere stati messi da parte, nell'altra che le regole del gioco erano ingiuste.

Poi, nel marzo di quest'anno, si è verificato un altro incidente.

Un errore di configurazione nel sistema di gestione del rischio sviluppato da Chaos Labs ha portato alla liquidazione errata di posizioni per un valore di circa 27 milioni di dollari, con ripercussioni su almeno 34 utenti. Chaos Labs ha dichiarato che non sono stati registrati crediti inesigibili e che gli utenti coinvolti riceveranno un risarcimento.

In definitiva, nessuno si è assunto la responsabilità legale di questo incidente, poiché nella DeFi non esiste alcuna definizione giuridica di responsabilità.

Tuttavia, quando si gestiscono centinaia di miliardi di dollari, un singolo errore nei parametri può causare una fluttuazione del fondo pari a svariati milioni di dollari, senza che tu disponga praticamente di alcuna tutela legale. Il team di gestione dei rischi ha sottolineato più volte questo aspetto nella propria lettera di commiato.

Con ciò, nell'era V3, Aave si è basata su quattro pilastri: sviluppo, governance, gestione del rischio e crescita finanziaria. Ora, i primi tre pilastri se ne sono andati tutti.

Nella lettera di addio del team di gestione dei rischi compare una metafora nota come «la nave di Teseo». Se si sostituiscono tutte le assi di una nave, è ancora la stessa nave?

Il nome Aave esiste ancora, i contratti sono ancora attivi e il TVL continua a crescere. Ma il team che scriveva il codice se n'è andato, il team che lo gestiva se n'è andato e il team che gestiva i rischi se n'è andato. Gli utenti continuano a depositare e a prendere in prestito denaro come al solito, forse senza rendersi conto che sotto la superficie tutto è stato completamente rivoluzionato.

Ciò che mette davvero a disagio in questa situazione non è chi se n'è andato, ma il fatto che, dopo la sua partenza, non sia cambiato nulla.

L'utente apre la pagina, effettua un deposito, prende in prestito, i tassi di interesse sono normali, la liquidazione procede regolarmente, tutto come al solito. Se nessuno leggesse specificatamente il forum sulla governance, la maggior parte degli utenti non saprebbe cosa è successo negli ultimi due mesi.

A breve termine, forse va davvero tutto bene. Gli smart contract non si interromperanno solo perché il team addetto alla gestione dei rischi se n'è andato, e i parametri impostati non cambieranno da soli. Aave si avvale ancora di un fornitore di servizi di gestione del rischio, LlamaRisk, quindi non è completamente esposta.

Ma la gestione del rischio non è un'iniziativa una tantum. Impostare dei parametri non significa che questi saranno sempre adeguati; il mercato è in continua evoluzione, gli asset cambiano e anche i vettori di attacco on-chain sono in continua evoluzione. La prossima volta che dovesse succedere qualcosa di simile, non si sa se la nuova squadra che subentrerà sarà in grado di reagire con la stessa rapidità.

Inoltre, questo non è certo un periodo di calma.

Il prezzo del token AAVE è sceso dal massimo di 356 dollari raggiunto nell'agosto dello scorso anno agli attuali 96 dollari circa, con un calo superiore al 70%. L'intero settore dei prestiti DeFi sta subendo una contrazione, l'attività on-chain è in calo e i ricavi dei protocolli sono sotto pressione.

In un mercato rialzista, la gestione del rischio passa inosservata e nessuno applaude perché «oggi non è successo nulla». In un mercato ribassista, la gestione del rischio è davvero fondamentale, poiché i prezzi degli asset subiscono forti oscillazioni, la frequenza delle liquidazioni aumenta e cresce la probabilità che si verifichino eventi "cigno nero": proprio questa è la fase in cui l'esperienza e la rapidità di reazione del team addetto alla gestione del rischio vengono messe maggiormente alla prova.

Ironia della sorte, è proprio in questa fase che il gruppo di persone più esperte se n'è andato.

Il team addetto alla gestione dei rischi ha riportato una frase nella propria lettera di addio che, a giudizio dell'autore, è molto azzeccata. Il motivo per cui Aave riesce a superare quei concorrenti più aggressivi non è che offra più funzionalità, ma che gli altri sono falliti, mentre Aave no. In questo mercato, sopravvivere è il prodotto stesso.

Il problema è che le persone che hanno permesso la sua sopravvivenza potrebbero non esserci più.

Link all'articolo originale