Kelp DAO heeft maandag een verklaring afgelegd waarin het zijn directe verantwoordelijkheid voor de exploit van $292 miljoen die dit weekend plaatsvond, bagatelliseert.
Op 18 april verloor de door LayerZero aangedreven cross-chain bridge Kelp DAO 116.500 rsETH tokens ter waarde van ongeveer $292 miljoen, waarmee het de grootste DeFi-exploit van dit jaar is.
LayerZero meldde zondag dat de aanvaller, waarschijnlijk Noord-Korea's Lazarus Group, toegang kreeg tot de lijst met RPC-nodes die werden gebruikt door LayerZero Labs' gedecentraliseerde geverifieerde netwerk (DVN). De aanvaller vergiftigde vervolgens twee RPC-nodes en lanceerde een DDoS-aanval om het DVN een nep cross-chain bericht te laten accepteren, wat leidde tot het ondertekenen van een illegale transactie.
In zijn rapport bekritiseerde LayerZero de 1-op-1 DVN-configuratie van Kelp DAO, en merkte op dat deze een single point of failure creëerde door het ontbreken van de onafhankelijke verificatie die nodig is om het frauduleuze cross-chain bericht te onderscheppen.
"LayerZero en andere externe partijen hebben eerder best practices met betrekking tot DVN-diversificatie gecommuniceerd naar Kelp DAO," aldus het rapport. "Ondanks deze aanbevelingen koos Kelp DAO ervoor om een 1/1 DVN-configuratie te gebruiken."
De laatste verklaring van Kelp DAO reageerde op de beschuldiging van LayerZero en schoof de verantwoordelijkheid voor de 1-op-1 DVN-configuratie door naar LayerZero.
"De 1-op-1 DVN-configuratie is de configuratie die is gedocumenteerd in de documentatie van LayerZero en wordt geleverd als standaard voor elke nieuwe OFT-implementatie," schreef Kelp in zijn verklaring op X. "Kelp opereert sinds januari 2024 op de LayerZero-infrastructuur en heeft gedurende deze periode een open communicatiekanaal met het LayerZero-team onderhouden."
Kelp voegde eraan toe dat het onderwerp van DVN-configuratie ter sprake kwam tijdens de uitbreiding naar L2, en dat de standaardconfiguratie op dat moment "uitdrukkelijk als gepast werd bevestigd".
"Het opstellen van een gedeeld en nauwkeurig verslag van wat er is gebeurd, is de basis voor het samen doorvoeren van de juiste oplossingen," aldus Kelp.
De cross-chain bridge zei ook dat zijn initiële reactie – waaronder het pauzeren van relevante contracten en het op de zwarte lijst plaatsen van wallets die aan de aanvaller waren gekoppeld – de situatie hielp bedwingen. Het voegde eraan toe dat het de volgende stappen evalueert om het protocol te hervatten.
Ondertussen verspreidde de impact van de aanval zich snel naar het Aave-protocol, aangezien de exploitant een aanzienlijk deel van de gestolen activa in Aave V3 stortte. De aanvaller gebruikte rsETH als onderpand om aanzienlijke hoeveelheden WETH te lenen, wat het risico op oninbare schulden (bad debt) voor het protocol verhoogde.
Het laatste incidentrapport van Aave vermeldde dat de aanvaller 89.567 rsETH (ter waarde van ongeveer $221 miljoen) als onderpand aanleverde en 82.650 WETH en 821 wstETH leende, waardoor de posities met zeer lage gezondheidsfactoren achterbleven.
Het protocol heeft twee hypothetische scenario's voor oninbare schulden geschetst op basis van beschikbare gegevens, rekening houdend met het feit dat Kelp nog geen officieel plan voor verliesallocatie of herstel heeft aangekondigd.
Het eerste scenario beschrijft een uniforme socialisatie van verliezen, ervan uitgaande dat ongeveer 112.204 rsETH het aanbod over alle chains gelijkmatig verdunt. Dit zou resulteren in een 15,12% depeg en leiden tot ruwweg $123,7 miljoen aan oninbare schulden voor Aave.
"Ethereum Core absorbeert het grootste absolute verlies ($91,8M), maar zijn WETH-reserve is diep genoeg zodat het tekort op 1,54% blijft," schreef Aave. "Mantle, met de kleinste WETH-reserve in verhouding tot zijn rsETH-blootstelling, lijdt een tekort van 9,54%, de hoogste proportionele impact in dit scenario."
Het tweede scenario gaat ervan uit dat verliezen geïsoleerd zijn tot L2 rsETH, waardoor Ethereum mainnet rsETH volledig gedekt blijft. In dit geval zou een 73,54% haircut worden opgelegd aan L2 onderpand. Dit zou leiden tot hogere oninbare schulden van $230,1 miljoen in L2 markten zoals Mantle, Arbitrum en Base's WETH-markten.
In het eerste scenario zou Aave's WETH Umbrella, met een waarde van $54 miljoen, kunnen dienen als een initiële backstop. De umbrella zou niet geactiveerd worden onder het tweede scenario.
"Welk scenario zich materialiseert, hangt af van beslissingen buiten Aave's controle, voornamelijk hoe de rsETH-boekhouding en de LRTOracle-wisselkoers worden bijgewerkt," aldus Aave.
Verder zei Aave dat de Aave DAO een sterke balans van $181 miljoen aan activa handhaaft, en dat het verschillende toezeggingen heeft ontvangen van deelnemers aan het ecosysteem om het protocol te ondersteunen in het geval van oninbare schulden.
Disclaimer: The Block is een onafhankelijk mediakanaal dat nieuws, onderzoek en gegevens levert. Sinds november 2023 is Foresight Ventures een meerderheidsinvesteerder van The Block. Foresight Ventures investeert in andere bedrijven in de cryptoruimte. Crypto exchange Bitget is een anker-LP voor Foresight Ventures. The Block blijft onafhankelijk opereren om objectieve, impactvolle en tijdige informatie over de crypto-industrie te leveren. Hier zijn onze huidige financiële openbaarmakingen.
© 2026 The Block. Alle rechten voorbehouden. Dit artikel is uitsluitend bedoeld voor informatieve doeleinden. Het wordt niet aangeboden of is niet bedoeld om te worden gebruikt als juridisch, fiscaal, beleggings-, financieel of ander advies.
