La explotación de $292 millones de Kelp DAO ha planteado nuevas preguntas sobre el riesgo en los mercados de restaking líquido y préstamos DeFi.
El ataque supuestamente afectó el puente rsETH del protocolo e implicó 116.500 rsETH, lo que equivale a aproximadamente el 18% de la oferta circulante.
El incidente no se limitó a Kelp DAO. Aave experimentó grandes retiros, mientras que SparkLend y Fluid pausaron los mercados de rsETH. Lido también pausó earnETH, que tenía exposición a rsETH, aunque su producto central stETH no se vio afectado.
Una publicación de una cuenta centrada en DeFi, conocida como @whatexchange en X, comparó el evento con la crisis financiera de 2008. La cuenta escribió: "Apilar capas de activos no elimina el riesgo. Lo comprime y lo oculta."
La publicación argumentó que rsETH se movió a través de varias capas antes de la explotación. Los usuarios primero apostaron ETH a través de Lido y recibieron stETH. Ese stETH podía luego pasar a Kelp DAO y EigenLayer, donde se acuñó rsETH.
El token rsETH se utilizó luego como garantía en plataformas de préstamos como Aave, SparkLend y Fluid. También se conectó a través de LayerZero a otras cadenas, creando versiones envueltas que dependían del mismo activo subyacente.
El análisis comparó esta estructura con los productos hipotecarios antes de la crisis de 2008. Afirmó que ambos sistemas reempaquetaban un activo base a través de varias capas financieras, mientras que cada capa dependía de que la anterior funcionara como se esperaba.
Después de la explotación de Kelp DAO, varias plataformas DeFi se movieron para reducir el riesgo. Aave congeló los mercados de rsETH durante varias horas, mientras que SparkLend y Fluid pausaron mercados similares. Ethena también pausó los puentes LayerZero OFT como precaución, a pesar de no tener exposición directa a rsETH.
Según la publicación, más de $6.2 mil millones salieron de Aave en menos de 36 horas. La cuenta dijo que el principal problema no fue solo el tamaño de la explotación, sino la dificultad de mapear la exposición indirecta entre protocolos.
La publicación afirmó: "Ningún participante, incluidos los propios protocolos, puede mapear completamente su red de exposición." Añadió que cuando los usuarios no pueden verificar la exposición en tiempo real, a menudo reaccionan retirando fondos.
La publicación también se centró en la seguridad de los puentes. Afirmó que Kelp utilizaba una configuración de verificador 1 de 1, lo que significa que un solo nodo verificaba los mensajes entre cadenas antes de que los fondos se movieran. La publicación argumentó que este diseño creaba un único punto de falla dentro de un producto comercializado como descentralizado.
El análisis también cuestionó el apilamiento de rendimientos. Afirmó que cada capa añade nuevos riesgos, incluyendo el slashing de validadores, riesgos de restaking, errores en el puente, fallas de contratos y liquidaciones de préstamos.
La publicación dijo que los usuarios no deberían juzgar los productos DeFi solo por el APY. Argumentó que los rendimientos más altos a menudo reflejan un riesgo oculto en varios sistemas conectados, no un simple ingreso pasivo.
La explotación de Kelp DAO ahora forma parte de un debate más amplio sobre la seguridad DeFi, el apalancamiento y la transparencia. El incidente mostró cómo una falla puede afectar a los usuarios en varias plataformas, incluidos los usuarios que no interactuaron directamente con Kelp DAO.
