$293 Miljoen Gestolen: Hoe de Kelp Restaking Exploit Een van de Ergste Aanvallen in DeFi Werd

Weer een dag, weer een enorm gat in de balans van DeFi, dit keer door een aanval op het Kelp restaking platform, resulterend in het verlies van $293 miljoen door een exploit op het protocol verspreid over acht verschillende soorten accounts. Helaas, omdat de kwetsbaarheid actief was en niet geverifieerd kon worden voordat de onderliggende protocollen en blockchain als "noodgeval" konden worden gemarkeerd en vergrendeld, konden hackers geld onttrekken van het Kelp-platform zonder dat de betreffende protocollen dit konden voorkomen.

Restaking omvat veel aspecten van DeFi's meest innovatieve strategieën voor rendementsgeneratie, door je in staat te stellen je reeds gestakede activa te gebruiken om tegelijkertijd extra inkomsten uit verschillende bronnen te genereren.

Restaking brengt een hoog risico met zich mee vanwege de complexiteit van de bijbehorende systemen (meerdere bewegende onderdelen), contractinteracties en daardoor meer mogelijkheden voor kwetsbaarheidsexploits.

Het combineren van al deze factoren creëert een ideale situatie voor hackers om Kelps kwetsbaarheden te exploiteren, waardoor de hackers succesvol gebruikersfondsen van hun accounts konden stelen.

Hoe de Aanval Zich Ontvouwde

De tegenstander maakte gebruik van een kwetsbaarheid in het beheer van de interactie tussen Liquid Staking Tokens (LST) die werden gebruikt voor maximale kapitaalefficiëntie via Restaking, alsook tussen de daadwerkelijke LST op de Ethereum blockchain en de verschillende onderliggende contracten van de Liquid Staking Tokens. De hacker kon de interne boekhoudlogica wijzigen die bepaalt hoeveel waarde de Liquid Staking Tokens aan het protocol leverden.

Het exploiteren van het prijsmanipulatie/LST-inflatiemodel is een bekende aanvalsmethode via andere DeFi-protocollen, en is in feite al eerder in verschillende contexten gemeld. De aanvaller bereikt dit door een discrepantie te exploiteren tussen de prijs die een DeFi-protocol bepaalt als de waarde van de LST en de prijs waartegen de LST op de open markt kan worden verhandeld. Vervolgens kan de aanvaller meer aan het protocol onttrekken dan hij oorspronkelijk had gestort, en zo profiteren van de inspanningen die anderen hebben geleverd om het DeFi-protocol en/of de bank te gebruiken.

Tijdens het incident bij Kelp exploiteerde de aanvaller het rsETH adapter bridge contract — de softwarecode die Kelps rsETH token beheert — en onttrok het platform ongeveer $293 miljoen aan fondsen, aldus blockchainbeveiligingsbedrijf Cyvers. Tegen de tijd dat het Kelp-team het doorhad en begon met het pauzeren van de contracten, hadden ze het grootste deel van de gestolen $293 miljoen al opgenomen.

Na het onttrekken van de fondsen zette de aanvaller ongeveer $250 miljoen van de gestolen fondsen om naar Ether via een door Tornado Cash gefinancierd adres, op een zeer ingewikkelde manier om het moeilijk te maken voor onderzoekers om te traceren. Hoewel onderzoekers binnen enkele uren na de diefstal de sporen van het geld begonnen te volgen, geeft de snelheid waarmee de aanvaller het gestolen geld witwaste aan dat ze goed voorbereid waren om dit plan uit te voeren, en daarom was het geen spontane of impulsieve actie van hun kant.

Hoe Restaking-Risico Er Werkelijk Uitziet

De opkomst van restaking behoort de afgelopen twee jaar tot de snelstgroeiende gebieden in gedecentraliseerde financiën (DeFi). Het idee won aan populariteit met de lancering van Eigenlayer's mainnet, waardoor Ethereum-stakers de beveiligingsgaranties van hun gestakede ETH konden uitbreiden naar andere protocollen in ruil voor extra rendement. EigenLayer groeide van $1,1 miljard naar meer dan $18 miljard aan TVL gedurende 2024–2025, en vertegenwoordigt nu meer dan 85% van de totale restaking-markt.

Kelp is bijvoorbeeld een platform gebouwd op deze infrastructuur, dat gebruikers directe toegang geeft tot restaking-posities en de noodzaak wegneemt voor hen om die complexiteit te beheren.

Vanwege het rendementspotentieel is er zeer snel aanzienlijk kapitaal naar dit type investering gestroomd. Op verschillende momenten hield Kelp ongeveer $1,07 miljard aan totale vergrendelde waarde (TVL) vast, waardoor het de op één na grootste speler in het EigenLayer-ecosysteem was.

Hoewel er in de loop der tijd veel verbeteringen zijn aangebracht in blockchaintechnologie, blijven er uitdagingen bestaan met betrekking tot risicobeheer als gevolg van voortdurende veranderingen en ontwikkelingen in de sector. Zo is risico een inherent onderdeel van elk blockchainproject. Er zijn verschillende motieven voor het creëren van risico's; één motief is het opbouwen van een bedrijf gebaseerd op het stimuleren van mensen om je product te gebruiken. Er zijn meerdere lagen van complexiteit betrokken bij het beheren van risico's. Voor elke extra laag van complexiteit die bijdraagt aan het genereren van rendement, ontstaat er een extra laag van risico.

Bij een eenvoudige stakingpositie via een validator node is er slechts één faalmodus: validator slashing. Echter, bij een restakingpositie die wordt samengebonden door een liquid staking token en via een geaggregeerde pool wordt gerouteerd waar de tokens over meerdere actieve validator services kunnen worden verdeeld, dan hebben alle faalmodi van de individuele services onderlinge afhankelijkheden omdat ze allemaal onderhevig zijn aan hetzelfde onderliggende risico.

Risicomodellen zijn zeer moeilijk te ontwerpen en te implementeren voordat strategieën worden geïmplementeerd, vanwege de veelheid aan potentiële faalmodi binnen een gegeven risicomodel. Algemene auditpraktijken kunnen nuttig zijn voor het opsporen/behandelen van de meeste defecten die in een bepaald systeem of product kunnen bestaan, maar auditing alleen garandeert niet dat de onderliggende contractuele specificatie is voldaan. Formele verificatie kan daarentegen een zekere mate van zekerheid bieden dat de onderliggende specificatie is voldaan, maar kan geen rekening houden met hoe een contract zich kan gedragen bij interactie met andere contracten tijdens verschillende transactiecycli.

Bovendien creëert de competitieve aard van het Decentralized Finance (DeFi) ecosysteem prikkels voor bedrijven om snelle oplossingen te bieden die hen in staat stellen liquiditeit te verkrijgen van hun concurrenten. Bedrijven kiezen er vaak voor om hun niveau van due diligence te beperken dat nodig is om de ontwikkeling van hoogwaardige infrastructuur binnen hun competitieve omgeving te ondersteunen.

Het Bredere Patroon Dat Niemand Wil Erkennen

DeFi heeft nu voldoende grote exploits voortgebracht om er echte conclusies uit te trekken, en één conclusie is ongemakkelijk: geauditeerde code die draait op openbare blockchains met honderden miljoenen dollars erin vergrendeld, is een buitengewoon aantrekkelijk doelwit voor geavanceerde aanvallers die zowel de technische capaciteit als de financiële motivatie hebben om kwetsbaarheden te vinden die auditfirma's hebben gemist. De Kelp-exploit is nu de grootste DeFi-hack van 2026, en vindt plaats te midden van een bredere golf van DeFi-aanvallen die de verliezen voor het jaar al voorbij $450 miljoen hebben geduwd, verspreid over ongeveer 45 protocollen.

De transparantie die DeFi filosofisch aantrekkelijk maakt — open-source code, openbare transacties, verifieerbare logica — is ook wat aanvallers in staat stelt doelprotocollen zo lang als nodig te bestuderen zonder dat iemand weet dat ze dit doen. De interne systemen van een traditionele financiële instelling zijn op zijn minst gedeeltelijk verhuld. De contracten van een DeFi-protocol zijn voor iedereen leesbaar, inclusief mensen die ze willen leegplunderen.

Dat is geen argument tegen DeFi. Het is een argument om eerlijk te zijn over hoe het risicoprofiel van deze platforms er werkelijk uitziet, vooral omdat ze retailkapitaal aantrekken van gebruikers die niet noodzakelijkerwijs begrijpen dat "geauditeerd" niet "veilig" betekent. De besmetting van de Kelp-exploit veroorzaakte dat meer dan $5,4 miljard aan ETH Aave verliet, met WETH-gebruikspercentages die 100% bereikten en de tokenprijs van AAVE die daalde tot $92.

De gebruikers van Kelp schreven zich niet in om $293 miljoen te verliezen. Ze schreven zich in voor rendement. De afstand tussen die twee uitkomsten is waar de moeilijkste onopgeloste problemen van DeFi liggen.