L'exploit de 292 millions de dollars de Kelp DAO a soulevé de nouvelles questions sur les risques liés au restaking liquide et aux marchés de prêt DeFi.
L'attaque aurait affecté le pont rsETH du protocole et impliqué 116 500 rsETH, soit environ 18 % de l'offre en circulation.
L'incident ne s'est pas limité à Kelp DAO. Aave a connu d'importants retraits, tandis que SparkLend et Fluid ont mis en pause les marchés rsETH. Lido a également mis en pause earnETH, qui était exposé au rsETH, bien que son produit stETH principal n'ait pas été affecté.
Une publication d'un compte axé sur la DeFi, connu sous le nom de @whatexchange sur X, a comparé l'événement à la crise financière de 2008. Le compte a écrit : « L'empilement de couches d'actifs ne supprime pas le risque. Il le comprime et le cache. »
La publication a soutenu que le rsETH avait traversé plusieurs couches avant l'exploit. Les utilisateurs ont d'abord mis en jeu de l'ETH via Lido et ont reçu du stETH. Ce stETH pouvait ensuite être transféré vers Kelp DAO et EigenLayer, où le rsETH était miné.
Le jeton rsETH a ensuite été utilisé comme garantie sur des plateformes de prêt telles qu'Aave, SparkLend et Fluid. Il a également été ponté via LayerZero vers d'autres chaînes, créant des versions « wrapped » qui dépendaient du même actif sous-jacent.
L'analyse a comparé cette structure aux produits hypothécaires avant la crise de 2008. Elle a indiqué que les deux systèmes reconditionnaient un actif de base à travers plusieurs couches financières, chaque couche dépendant du bon fonctionnement de la précédente.
Après l'exploit de Kelp DAO, plusieurs plateformes DeFi ont agi pour réduire les risques. Aave a gelé les marchés rsETH pendant plusieurs heures, tandis que SparkLend et Fluid ont mis en pause des marchés similaires. Ethena a également mis en pause les ponts OFT de LayerZero par précaution, malgré l'absence d'exposition directe au rsETH.
Selon la publication, plus de 6,2 milliards de dollars ont quitté Aave en moins de 36 heures. Le compte a déclaré que le problème principal n'était pas seulement l'ampleur de l'exploit, mais aussi la difficulté de cartographier l'exposition indirecte à travers les protocoles.
La publication a déclaré : « Aucun participant, y compris les protocoles eux-mêmes, ne peut entièrement cartographier son réseau d'exposition. » Elle a ajouté que lorsque les utilisateurs ne peuvent pas vérifier l'exposition en temps réel, ils réagissent souvent en retirant leurs fonds.
La publication s'est également concentrée sur la sécurité des ponts. Elle a affirmé que Kelp utilisait une configuration de vérificateur 1 sur 1, ce qui signifie qu'un seul nœud vérifiait les messages inter-chaînes avant le déplacement des fonds. La publication a soutenu que cette conception créait un point de défaillance unique au sein d'un produit commercialisé comme décentralisé.
L'analyse a également remis en question le cumul de rendements. Elle a déclaré que chaque couche ajoutait de nouveaux risques, notamment le slashing des validateurs, les risques de restaking, les bugs de pont, les défaillances de contrats et les liquidations de prêts.
La publication a indiqué que les utilisateurs ne devraient pas juger les produits DeFi uniquement par leur APY. Elle a soutenu que des rendements plus élevés reflètent souvent un risque caché à travers plusieurs systèmes connectés, et non un simple revenu passif.
L'exploit de Kelp DAO fait désormais partie d'un débat plus large sur la sécurité, l'effet de levier et la transparence de la DeFi. L'incident a montré comment une défaillance peut affecter les utilisateurs sur plusieurs plateformes, y compris ceux qui n'ont pas directement interagi avec Kelp DAO.
