Eén hack, negen protocollen, $292 miljoen kwijt: De Kelp-exploit onthult het besmettingsprobleem van DeFi

Op zaterdagmiddag stuurde een aanvaller een nepcommando naar de door LayerZero aangedreven bridge van Kelp DAO. De bridge accepteerde dit als waar. Binnen enkele minuten werd 116.500 rsETH (ongeveer 18% van de totale circulerende voorraad van de token) in de wallet van de aanvaller geplaatst. Toen Kelp hun smart contracts on hold zette, bevonden de gestolen tokens zich al in Aave, Compound en Euler als onderpand voor het lenen van honderden miljoenen dollars meer aan wrapped ether. Het resultaat: Kelp verloor ongeveer $293 miljoen; Aave zag $6,6 miljard aan vergrendelde waarde verdwijnen; en minstens negen verschillende protocollen probeerden hun exchange markten, die ze niet hadden gebouwd, te bevriezen.

Dit was niet alleen een Kelp-kwestie; dit heeft betrekking op de afhankelijkheid van veel protocollen van bridges die gecompromitteerd zijn — dat is het vraagstuk dat het waard is om over na te denken!

Hoe een Enkele Bridge Hack Een Multi-Protocol Crisis Werd

Kelp fungeert als een protocol voor liquid restaking. Stakers van ether (stETH) op Kelp ontvangen een token genaamd rsETH dat beloningen genereert, die vervolgens kunnen worden gebruikt in tal van DeFi-protocollen. Er waren echter meer dan 20 actieve netwerken waarop rsETH-tokens circuleerden als onderpand of als bewijs van inzet voor staking via Kelp, en deze waren allemaal gekoppeld aan dezelfde Kelp-reserves op de bridge. Dus toen de bridge werd leeggehaald en rsETH-tokens die circuleerden als onderpand verdacht werden (ongeacht hun herkomst), hadden protocollen die deze tokens als onderpand accepteerden geen middelen om de authenticiteit van het onderpand voor hun leningen te verifiëren — Aave, SparkLend, Fluid, Euler, Compound en anderen.

Cyvers Blockchain Security bestempelde dit probleem als een "cross-protocol besmettingsevenement" als gevolg van de protocol-exploit. Hoewel Aave, Compound en Euler geen fiduciaire fout hadden met hun contracten, had Aave rsETH geïntegreerd in hun leenpool en scheidde het niet af van de rest van hun leningen, waardoor het risico voor hun leenpool door rsETH escaleerde. Vervolgens daalde de tokenwaarde van Aave met 16%. De totale waarde vergrendeld in Aave (TVL) daalde van $26,4 miljard naar ongeveer $20 miljard in enkele uren. Aave heeft nu ongeveer $196 miljoen aan oninbare schulden, geconcentreerd in de rsETH en wrapped ether paren, en Aave heeft mogelijk onvoldoende reserves in zijn Umbrella Safety Fund.

De Kapitaalefficiëntie Afweging Die Niemand Wilde Maken

Michael Egorov, oprichter van Curve Finance, maakte duidelijk dat de problemen in deze structuren groter worden door niet-geïsoleerde leenmodellen, waarbij een gedeelde pool onder alle activa extra risico toevoegt voor alle andere activa vanwege een enkele risicopool. Als rsETH geïsoleerd was in zijn eigen leenpool, dan zou de besmetting, wanneer een exploit als deze plaatsvindt, beperkt zijn tot Kelp, in plaats van andere protocollen, andere gebruikers of andere tokens te beïnvloeden.

De reden waarom veel protocollen hun pools niet volledig isoleren, is omdat dit de kapitaalefficiëntie vermindert. Naarmate liquiditeit van veel verschillende protocollen wordt toegevoegd aan een enkele pool, kan liquiditeit vrijer stromen zonder beperkingen, waardoor het goedkoper wordt om tegen te lenen en een hoger rendement wordt geboden op opbrengsten die via leningen worden gegenereerd. Door leenpools te isoleren, wordt het risico binnen elke pool verminderd, maar dit vereist het opofferen van een bepaald type kapitaalefficiëntie dat de generatie van die liquiditeit mogelijk maakt.

Bovendien wees Egorov op een aanvullend probleem met de configuratie van Kelp's bridge, die was geconfigureerd met een enkele instantie van een verificateur, wat betekent dat er slechts één verificatiepunt werd gebruikt om cross-chain berichten te valideren die naar en van deze twee protocollen werden verzonden. Deze configuratiefout had moeten worden opgemerkt toen de bridge oorspronkelijk online werd gebracht, maar dit gebeurde niet. Daarom kon één vervalst bericht de hele bridge vrijgeven.

Cross-Chain Infrastructuur is de Zwakke Schakel

De oorzaak van de aanval was geen bug in een smart contract, zoals we typisch zien wanneer aanvallen plaatsvinden. De hacker gebruikte een bridge om Kelp te hacken. Egorov stelt specifiek: "Cross-chain is moeilijk en onveilig. Gebruik cross-chain technologie alleen wanneer vereist en doe dit uiterst voorzichtig. Veel mensen hebben dit eerder gehoord en keerden zich de andere kant op, omdat cross-chain de manier is waarop de industrie een gedecentraliseerd financieel systeem over meerdere blockchains kan creëren. Als er tien verschillende netwerken zijn met jouw protocol erop, dan heb je een manier nodig om al die netwerken te verbinden en dit zijn bijna uitsluitend de plaatsen waar de grootste hacks hebben plaatsgevonden, omdat zij de grenzen zijn die elk van de afzonderlijke systemen scheiden, vandaar dat aanvallers typisch eerst zouden proberen te hacken aan de grenzen."

De Kelp-exploit is snel de grootste DeFi-hack van 2026 geworden en 2026 is nog maar net begonnen ten tijde van het schrijven van dit artikel (vier maanden in het jaar). Het totale bedrag aan crypto dat alleen al in het eerste kwartaal van 2026 verloren ging door hacks, exploits en scams, bedroeg ongeveer $482 miljoen. De Security Officer van Ledger verklaarde dat 2026 "hoogstwaarschijnlijk het slechtste jaar voor hacks tot nu toe zal zijn", wat een voorspelling is van een toekomstige trend op basis van hun huidige trends.

Wat Gebeurt er met Vertrouwen

"DeFi is dood" was een van de meest voorkomende opmerkingen van DeFi-gebruikers op sociale media na het recente incident — iets wat niet verrassend is gezien de omvang van de exploit, maar het is misschien niet echt een accurate beoordeling van wat er in dit stadium gebeurt in het DeFi-ecosysteem. Er is echter iets anders aan de aard van de omvang van dit evenement, aangezien het tegelijkertijd cross-chain infrastructuur, restaking-modellen en leenmarkten beïnvloedde, en daarom niet kan worden geclassificeerd als de zwakte/gerichte aanval van één enkel protocol; in plaats daarvan dient het als een stresstest om te demonstreren hoe nauw het hele DeFi-ecosysteem met elkaar verbonden is wat betreft de onderliggende protocollen die samenwerken.

Zoals de Security Chief van Ledger, Guillemet, het verwoordde: 'Over het algemeen erodeert dit soort gebeurtenissen het vertrouwen onder de DeFi-gemeenschap met betrekking tot de operationele integriteit van DeFi-protocollen.'

Aan de andere kant biedt Egorov een alternatief standpunt — dat, hoewel het een moeilijke omgeving is, crypto altijd heeft geleerd van eerdere mislukkingen in DeFi en sterker is geworden — hoewel hij in principe gelijk heeft. Het leren van dit soort incidenten kost de eindgebruiker echter doorgaans onverwachte financiële verliezen. Negen protocollen, $293 miljoen aan verloren geldwaarde en één vervalst bridge-bericht PYMNTS.com er is hier geen discussie mogelijk, we hebben deze les geleerd, maar hoeveel keer zullen we die nog moeten leren?