Ang $292 milyong exploit ng Kelp DAO ay nagdulot ng mga bagong katanungan tungkol sa panganib sa liquid restaking at DeFi lending markets.
Umano'y naapektuhan ng atake ang rsETH bridge ng protocol at kasangkot ang 116,500 rsETH, katumbas ng humigit-kumulang 18% ng circulating supply.
Hindi lang sa Kelp DAO nanatili ang insidente. Nakita ng Aave ang malaking pag-withdraw, habang pinatigil ng SparkLend at Fluid ang mga rsETH market. Pinatigil din ng Lido ang earnETH, na may exposure sa rsETH, kahit na hindi naapektuhan ang pangunahing produkto nitong stETH.
Isang post ng isang account na nakatuon sa DeFi, kilala bilang @whatexchange sa X, ikinumpara ang pangyayari sa krisis pinansyal noong 2008. Isinulat ng account, “Ang pagpapatong-patong ng asset layers ay hindi nagtatanggal ng panganib. Ito ay sinisiksik at tinatago ito.”
Sinabi ng post na dumaan ang rsETH sa ilang layers bago ang exploit. Ang mga user ay unang nag-stake ng ETH sa pamamagitan ng Lido at nakatanggap ng stETH. Pagkatapos ay maaaring lumipat ang stETH na iyon sa Kelp DAO at EigenLayer, kung saan na-mint ang rsETH.
Ang rsETH token ay ginamit bilang collateral sa mga platform ng pagpapautang tulad ng Aave, SparkLend, at Fluid. Na-bridge din ito sa pamamagitan ng LayerZero sa ibang chains, gumagawa ng mga wrapped version na umaasa sa parehong underlying asset.
Ikinumpara ng pagsusuri ang istrukturang ito sa mga produkto ng mortgage bago ang krisis noong 2008. Sinabi nito na parehong repackaged ng mga sistema ang isang base asset sa pamamagitan ng ilang financial layers, habang ang bawat layer ay umasa sa nakaraang isa na gumagana gaya ng inaasahan.
Matapos ang Kelp DAO exploit, ilang DeFi platform ang kumilos upang bawasan ang panganib. Ipinatigil ng Aave ang rsETH markets sa loob ng ilang oras, habang pinatigil ng SparkLend at Fluid ang mga katulad na market. Ipinatigil din ng Ethena ang LayerZero OFT bridges bilang pag-iingat, kahit na walang direktang rsETH exposure.
Ayon sa post, mahigit $6.2 bilyon ang lumabas sa Aave sa loob ng wala pang 36 na oras. Sinabi ng account na ang pangunahing isyu ay hindi lamang ang laki ng exploit kundi ang hirap ng pagma-map ng indirect exposure sa buong protocols.
Sinabi ng post, “Walang kalahok, kasama ang mga protocols mismo, ang maaaring lubos na mag-map ng kanilang exposure network.” Idinagdag nito na kapag hindi ma-verify ng mga user ang exposure sa real time, madalas silang tumutugon sa pamamagitan ng pag-withdraw ng pondo.
Tinuon din ng post ang seguridad ng bridge. Inangkin nito na gumamit ang Kelp ng 1-of-1 verifier setup, ibig sabihin, isang node ang nag-verify ng cross-chain messages bago lumipat ang pondo. Sinabi ng post na ang disenyong ito ay lumikha ng isang single point of failure sa loob ng isang produkto na ibinebenta bilang decentralized.
Kinuwestiyon din ng pagsusuri ang yield stacking. Sinabi nito na ang bawat layer ay nagdaragdag ng mga bagong panganib, kabilang ang validator slashing, restaking risks, bridge bugs, contract failures, at lending liquidations.
Sinabi ng post na hindi dapat husgahan ng mga user ang mga produkto ng DeFi batay lamang sa APY. Ito ay nagsabing ang mas mataas na kita ay madalas na nagpapakita ng nakatagong panganib sa ilang konektadong sistema, hindi simpleng passive income.
Ang Kelp DAO exploit ay naging bahagi na ngayon ng mas malawak na debate sa seguridad ng DeFi, leverage, at transparency. Ipinakita ng insidente kung paano makaaapekto ang isang pagkabigo sa mga user sa ilang platform, kabilang ang mga user na hindi direktang nakipag-ugnayan sa Kelp DAO.
