Wat begon als de Kelp DAO-exploit is niet langer slechts een brugverhaal, maar is nu een crypto-referendum over hoe DeFi omgaat met beveiliging, besmettingsgevaar en verantwoordelijkheid.
De directe schade was al ernstig. De exploit van ongeveer $292 miljoen trof de rsETH-brug van Kelp DAO, veroorzaakte zorgen over slechte schulden bij Aave, en leidde tot een nieuwe ronde van vingerwijzen tussen protocollen en infrastructuurproviders.
De marktreactie was bruut. Onchain-analisten Lookonchain zeiden dat de totale vergrendelde waarde (TVL) van Aave met bijna $8 miljard daalde nadat de aanvaller gestolen Kelp DAO-gerelateerde activa als onderpand gebruikte, wat ongeveer $195 miljoen aan slechte schulden achterliet.
De gegevens van The Block tonen nu aan dat Aave's TVL de afgelopen 48 uur een forse daling heeft doorgemaakt, omdat fondsen elders, waaronder naar Spark, roteerden.
Grafiek uitvouwen
The Block meldde later dat Aave twee mogelijke scenario's voor slechte schulden had gemodelleerd die verband hielden met de nasleep.
Ondertussen begonnen gestolen fondsen van de exploit over verschillende chains te bewegen nadat Arbitrum een groot deel van de gekoppelde ETH bevroor.
Een scherpe vraag die nu in de industrie circuleert, is niet of DeFi nog werkt, maar welke risico's het in 2026 nog tolereert.
Curve-oprichter Michael Egorov verwoordde het in de meest botte termen. "WTF? Zijn wij een industrie van clowns?" schreef hij op X, bewerend dat recente storingen die verband houden met gecentraliseerde single points of failure een industrie schaden die nog steeds beweert de toekomst van financiën te bouwen.
Zijn bredere punt wordt begrepen. De Kelp-inbreuk trof niet slechts één protocol, maar verspreidde zich via composability.
Een enkele brugstoring veranderde in een multi-protocol onderpandrisico. Onderpandrisico veranderde in leenstress. Leenstress veranderde in opnames. In DeFi mag code dan modulair zijn, paniek wordt gedeeld.
Wenzhao Dong, een blockchain-analist bij CertiK, vertelde The Block dat het probleem niet is dat DeFi inherent kapot is. Het is eerder dat te veel teams beveiliging nog steeds als een overheadpost beschouwen.
"De protocollen die de volgende cyclus overleven, zijn degenen die beveiliging zien zoals TradFi tegenpartijrisico ziet — als een cruciale factor, niet als een bijzaak," zei Dong.
Brian Trunzo, chief growth officer bij Succinct Labs, deelde een soortgelijk standpunt. Hij zei dat bruggen niet langer zouden moeten vertrouwen op vertrouwensgevoelige validatormodellen wanneer bewijsgebaseerde systemen bestaan.
In zijn ogen was de Kelp-exploit een storing in de verificatielaag van de brug, geen typische smart contract-bug, en het toonde aan hoe gevaarlijk aannames van één ondertekenaar blijven.
"Op dit punt, als uw vertrouwensmodel minder is dan ZK, bent u grof nalatig. Misschien zelfs roekeloos," vertelde Trunzo aan The Block.
Anderen gingen nog verder met de kritiek.
Sergej Kunz, mede-oprichter van 1inch, zei dat de episode blootlegde hoe fragiel het shared-pool model kan worden wanneer één slecht asset volledige benutting veroorzaakt en gebruikersfondsen effectief vastzet. Matthew Pinnock, COO bij Altura DeFi, voegde eraan toe dat de snelheid van de opnames liet zien hoe snel het vertrouwen kan afbrokkelen zodra onderpandaannames falen.
Toch waren niet alle reacties negatiever.
Metamask beveiligingsexpert Taylor Monahan noemde Arbitrums noodbevriezing van gestolen ETH een teken dat "DeFi f*cking wint", en prees de coördinatie die nodig was om meer schade te voorkomen.
Haseeb Qureshi van Dragonfly zei dat DeFi altijd heeft geleerd van mislukkingen, en vergeleek het huidige moment met eerdere crises zoals Terra, de veilingstoringen van maart 2020 en de stETH depeg. Erik Voorhees maakte een soortgelijk punt vanuit eerste beginselen: in crypto, zo stelde hij, blijven mislukkingen dicht bij de bron in plaats van te worden gesocialiseerd in de samenleving, zoals vaak gebeurt in traditionele financiën.
Een iets andere invalshoek werd geboden door Neil May, CEO van defi.com. In gesprek met The Block opperde May dat de zwakte van DeFi niet alleen technisch is, maar ook ervaringsgericht. Van gebruikers wordt nog steeds verwacht dat ze te veel begrijpen, te veel blootstellen en te slecht herstellen als dingen misgaan.
"Mensen moeten begrijpen wat ze ondertekenen, beperken wat ze blootstellen en een duidelijk herstelpad hebben wanneer dingen misgaan. Dit is simpelweg 'enterprise-grade' dat vandaag de dag ontbreekt in DeFi," zei May. "De producten die mainstream vertrouwen verdienen, zullen degenen zijn die beveiliging onzichtbaar maken, niet degenen die gebruikers vragen om hun eigen beveiligingsteam te zijn."
Voor sommigen is dat misschien wel de belangrijkste conclusie uit het incident van Kelp.
De exploit heeft een oud DeFi-argument over decentralisatie versus gemak nieuw leven ingeblazen, maar het heeft ook een nieuwer argument verscherpt: beveiliging eindigt niet langer bij de eigen contracten van een protocol.
Een leenmarkt kan op zichzelf gezond zijn en toch worden getroffen door een upstream-brug.
Een brug kan zichzelf gedecentraliseerd noemen en toch afhankelijk zijn van één zwakke schakel.
Een noodbevriezing kan fondsen redden en toch ongemakkelijke vragen oproepen over bestuur en interventie.
Lukas Schor, president van de Safe Ecosystem Foundation, vertelde The Block dat het grotere patroon belangrijker is dan het blame game over wie uiteindelijk het gat van Aave vult.
Actoren die gelinkt zijn aan Lazarus, zo zei hij, hebben de frequentie van aanvallen deze maand versneld, terwijl AI begint met het versterken van verkennings- en social engineering-risico's.
In Schor's optiek staat de DeFi-industrie tegenover een tegenstander van staatsniveau met verdedigingen die nog zijn gebouwd voor een zachter tijdperk.
"Wat nu duidelijk is, is dat zelfs de meest gevestigde DeFi-protocollen een doelwit op hun rug hebben," vertelde hij aan The Block. "Cyberbeveiliging is altijd een kat-en-muisspel geweest. Maar nu is het duidelijk dat wij, als industrie, onze verdedigingen moeten opschalen. Anders zal het vertrouwen in DeFi zeer snel en onherstelbaar worden uitgehold."
Hij stelde dat dit precies het punt is waarom de cijfers meer betekenen dan de krantenkoppen. The Block meldde eerder deze week dat DeFi-verliezen in slechts enkele weken al de $600 miljoen hadden overschreden. Voeg daar de ongeveer $285 miljoen Drift-exploit en de herziene $2,5 miljoen verliesraming van Hyperbridge aan toe, en april ontpopt zich als een nieuwe maand die de sector dwingt harde vragen te beantwoorden over vertrouwensassumpties en operationele discipline.
Disclaimer: The Block is een onafhankelijke media-uitgever die nieuws, onderzoek en gegevens levert. Vanaf november 2023 is Foresight Ventures een meerderheidsinvesteerder van The Block. Foresight Ventures investeert in andere bedrijven in de crypto-ruimte. Crypto-exchange Bitget is een anker-LP voor Foresight Ventures. The Block blijft onafhankelijk opereren om objectieve, impactvolle en tijdige informatie over de crypto-industrie te leveren. Hier zijn onze huidige financiële openbaarmakingen.
© 2026 The Block. Alle rechten voorbehouden. Dit artikel wordt uitsluitend ter informatie aangeboden. Het is niet bedoeld of bestemd om te worden gebruikt als juridisch, fiscaal, beleggings-, financieel of ander advies.
