أثار استغلال (exploit) Kelp DAO بقيمة 292 مليون دولار تساؤلات جديدة حول المخاطر عبر أسواق إعادة التخزين السائلة (liquid restaking) وأسواق إقراض التمويل اللامركزي (DeFi).
أثر الهجوم، حسبما ورد، على جسر rsETH الخاص بالبروتوكول وتضمن 116,500 rsETH، أي ما يعادل حوالي 18% من المعروض المتداول.
لم يقتصر الحادث على Kelp DAO. شهدت Aave عمليات سحب كبيرة، بينما أوقفت SparkLend و Fluid أسواق rsETH مؤقتًا. كما أوقفت Lido منتج earnETH مؤقتًا، والذي كان لديه تعرض لـ rsETH، على الرغم من أن منتجها الأساسي stETH لم يتأثر.
قارن منشور من حساب يركز على التمويل اللامركزي، يُعرف باسم @whatexchange على X، هذا الحدث بالأزمة المالية لعام 2008. كتب الحساب: "إن تكديس طبقات الأصول لا يزيل المخاطر. بل يضغطها ويخفيها."
أوضح المنشور أن rsETH تحرك عبر عدة طبقات قبل الاستغلال. قام المستخدمون أولاً بتخزين ETH عبر Lido وحصلوا على stETH. ثم يمكن لـ stETH أن ينتقل إلى Kelp DAO و EigenLayer، حيث تم سك rsETH.
تم بعد ذلك استخدام رمز rsETH كضمان على منصات الإقراض مثل Aave و SparkLend و Fluid. كما تم تجسيره عبر LayerZero إلى سلاسل أخرى، مما أدى إلى إنشاء نسخ مغلفة تعتمد على نفس الأصل الأساسي.
قارنت التحليلات هذا الهيكل بمنتجات الرهن العقاري قبل أزمة عام 2008. وذكرت أن كلا النظامين أعادا تغليف أصل أساسي واحد عبر عدة طبقات مالية، بينما اعتمدت كل طبقة على الطبقة السابقة للعمل كما هو متوقع.
بعد استغلال Kelp DAO، تحركت عدة منصات للتمويل اللامركزي لتقليل المخاطر. جمدت Aave أسواق rsETH لعدة ساعات، بينما أوقفت SparkLend و Fluid أسواقًا مماثلة مؤقتًا. كما أوقفت Ethena جسور LayerZero OFT كإجراء احترازي، على الرغم من عدم وجود تعرض مباشر لـ rsETH لديها.
وفقًا للمنشور، غادر أكثر من 6.2 مليار دولار من Aave في أقل من 36 ساعة. وقال الحساب إن القضية الرئيسية لم تكن فقط حجم الاستغلال، بل صعوبة تحديد التعرض غير المباشر عبر البروتوكولات.
ذكر المنشور: "لا يمكن لأي مشارك، بما في ذلك البروتوكولات نفسها، رسم شبكة تعرضه بالكامل." وأضاف أنه عندما لا يتمكن المستخدمون من التحقق من التعرض في الوقت الفعلي، فإنهم غالبًا ما يتفاعلون بسحب الأموال.
ركز المنشور أيضًا على أمان الجسور. ادعى أن Kelp استخدمت إعداد مُتحقّق 1-من-1، مما يعني أن عقدة واحدة تحققت من الرسائل عبر السلسلة قبل تحويل الأموال. جادل المنشور بأن هذا التصميم خلق نقطة فشل واحدة داخل منتج يتم تسويقه على أنه لامركزي.
كما شكك التحليل في تكديس العوائد. وقال إن كل طبقة تضيف مخاطر جديدة، بما في ذلك عقوبة المدققين (validator slashing)، ومخاطر إعادة التخزين (restaking risks)، وأخطاء الجسور، وفشل العقود، وتصفية الإقراض.
وقال المنشور إنه لا ينبغي للمستخدمين الحكم على منتجات التمويل اللامركزي بناءً على العائد السنوي المئوي (APY) فقط. وجادل بأن العوائد الأعلى غالبًا ما تعكس مخاطر خفية عبر عدة أنظمة متصلة، وليس دخلًا سلبيًا بسيطًا.
أصبح استغلال Kelp DAO الآن جزءًا من نقاش أوسع حول أمان التمويل اللامركزي، والرافعة المالية، والشفافية. أظهر الحادث كيف يمكن لفشل واحد أن يؤثر على المستخدمين عبر عدة منصات، بما في ذلك المستخدمون الذين لم يتفاعلوا بشكل مباشر مع Kelp DAO.
