اکسپلویت ۲۹۲ میلیون دلاری Kelp DAO پرسش‌های جدیدی را درباره ریسک در بازارهای لیکوئید ری‌استیکینگ و وام‌دهی دیفای مطرح کرده است. 

بر اساس گزارش‌ها، این حمله پل rsETH پروتکل را تحت تأثیر قرار داد و ۱۱۶,۵۰۰ rsETH را شامل می‌شد که تقریباً ۱۸ درصد از عرضه در گردش است.

این حادثه تنها به Kelp DAO محدود نشد. Aave شاهد برداشت‌های کلان بود، در حالی که SparkLend و Fluid بازارهای rsETH را متوقف کردند. لیدو نیز earnETH را که در معرض rsETH قرار داشت، متوقف کرد، اگرچه محصول اصلی آن، stETH، تحت تأثیر قرار نگرفت.

پستی از یک حساب کاربری متمرکز بر دیفای، با نام @whatexchange در X، این رویداد را با بحران مالی سال ۲۰۰۸ مقایسه کرد. این حساب نوشت: «انباشت لایه‌های دارایی، ریسک را از بین نمی‌برد. آن را فشرده و پنهان می‌کند.»

محصولات بازدهی لایه‌ای مورد بررسی دقیق قرار می‌گیرند

این پست استدلال کرد که rsETH قبل از اکسپلویت از چندین لایه عبور کرده است. کاربران ابتدا ETH را از طریق Lido استیک کردند و stETH دریافت کردند. سپس آن stETH می‌توانست به Kelp DAO و EigenLayer منتقل شود، جایی که rsETH ایجاد (mint) می‌شد.

توکن rsETH سپس به عنوان وثیقه در پلتفرم‌های وام‌دهی مانند Aave، SparkLend و Fluid استفاده شد. همچنین از طریق LayerZero به بلاکچین‌های دیگر منتقل (bridged) شد و نسخه‌های رپد شده (wrapped versions) را ایجاد کرد که به همان دارایی پایه وابسته بودند.

این تحلیل، این ساختار را با محصولات رهنی قبل از بحران سال ۲۰۰۸ مقایسه کرد. بیان کرد که هر دو سیستم یک دارایی پایه را از طریق چندین لایه مالی بازبسته‌بندی کردند، در حالی که هر لایه به عملکرد صحیح لایه قبلی وابسته بود.

پاسخ بازار نشان‌دهنده مواجهه‌های پنهان است

پس از اکسپلویت Kelp DAO، چندین پلتفرم دیفای برای کاهش ریسک اقدام کردند. Aave بازارهای rsETH را برای چندین ساعت مسدود کرد، در حالی که SparkLend و Fluid بازارهای مشابه را متوقف کردند. Ethena نیز پل‌های OFT LayerZero را به عنوان یک اقدام احتیاطی متوقف کرد، با وجود اینکه هیچ مواجهه مستقیمی با rsETH نداشت.

طبق این پست، بیش از ۶.۲ میلیارد دلار در کمتر از ۳۶ ساعت از Aave خارج شد. این حساب کاربری گفت که مسئله اصلی تنها اندازه اکسپلویت نبود، بلکه دشواری نگاشت مواجهه‌های غیرمستقیم در میان پروتکل‌ها بود.

این پست اظهار داشت: «هیچ شرکت‌کننده‌ای، از جمله خود پروتکل‌ها، نمی‌تواند شبکه مواجهه‌های خود را به طور کامل نگاشت کند.» و افزود که زمانی که کاربران نمی‌توانند مواجهه را به صورت آنی تأیید کنند، اغلب با برداشت وجوه واکنش نشان می‌دهند.

بحث ریسک دیفای به سمت طراحی سیستم تغییر می‌کند

این پست همچنین بر امنیت پل‌ها تمرکز داشت. ادعا کرد که Kelp از یک تنظیمات تأییدکننده ۱ از ۱ استفاده می‌کرد، به این معنی که یک نود پیام‌های بین زنجیره‌ای را قبل از انتقال وجوه تأیید می‌کرد. این پست استدلال کرد که این طراحی یک نقطه شکست واحد را در محصولی که به عنوان غیرمتمرکز بازاریابی می‌شد، ایجاد کرد.

این تحلیل همچنین انباشت بازدهی (yield stacking) را زیر سوال برد. بیان کرد که هر لایه ریسک‌های جدیدی اضافه می‌کند، از جمله اسلشینگ ولیدیتور، ریسک‌های ری‌استیکینگ، باگ‌های پل، خرابی‌های قرارداد و لیکوئیدیشن‌های وام‌دهی.

این پست گفت کاربران نباید محصولات دیفای را تنها بر اساس APY قضاوت کنند. استدلال کرد که بازده‌های بالاتر اغلب نشان‌دهنده ریسک پنهان در چندین سیستم متصل به هم هستند، نه درآمد غیرفعال ساده.

اکسپلویت Kelp DAO اکنون بخشی از بحث گسترده‌تر در مورد امنیت، اهرم مالی و شفافیت دیفای شده است. این حادثه نشان داد که چگونه یک شکست می‌تواند کاربران را در چندین پلتفرم تحت تأثیر قرار دهد، از جمله کاربرانی که مستقیماً با Kelp DAO تعامل نداشتند.