De $292 miljoen exploit van Kelp DAO heeft nieuwe vragen opgeroepen over risico's in liquid restaking en DeFi-leenmarkten.
De aanval trof naar verluidt de rsETH-brug van het protocol en betrof 116.500 rsETH, wat overeenkomt met ongeveer 18% van de circulerende voorraad.
Het incident bleef niet beperkt tot Kelp DAO. Aave zag grote opnames, terwijl SparkLend en Fluid de rsETH-markten pauzeerden. Lido pauzeerde ook earnETH, dat blootstelling had aan rsETH, hoewel het kern stETH-product niet werd getroffen.
Een bericht van een op DeFi gericht account, bekend als @whatexchange op X, vergeleek de gebeurtenis met de financiële crisis van 2008. Het account schreef: "Het stapelen van activalagen verwijdert geen risico. Het comprimeert en verbergt het."
Het bericht beweerde dat rsETH vóór de exploit via verschillende lagen bewoog. Gebruikers staketen eerst ETH via Lido en ontvingen stETH. Dat stETH kon vervolgens naar Kelp DAO en EigenLayer bewegen, waar rsETH werd gemint.
De rsETH-token werd vervolgens gebruikt als onderpand op leenplatformen zoals Aave, SparkLend en Fluid. Het werd ook via LayerZero overbrugd naar andere ketens, waardoor gewrapte versies ontstonden die afhankelijk waren van hetzelfde onderliggende activa.
De analyse vergeleek deze structuur met hypotheekproducten vóór de crisis van 2008. Het stelde dat beide systemen één basisactiva opnieuw verpakten via verschillende financiële lagen, waarbij elke laag afhankelijk was van het naar behoren functioneren van de vorige.
Na de Kelp DAO exploit namen verschillende DeFi-platformen maatregelen om risico te verminderen. Aave bevroor rsETH-markten gedurende enkele uren, terwijl SparkLend en Fluid vergelijkbare markten pauzeerden. Ethena pauzeerde ook LayerZero OFT-bruggen uit voorzorg, ondanks dat het geen directe rsETH-blootstelling had.
Volgens het bericht verliet meer dan $6,2 miljard Aave binnen minder dan 36 uur. Het account stelde dat het hoofdprobleem niet alleen de omvang van de exploit was, maar ook de moeilijkheid om indirecte blootstelling over protocollen heen in kaart te brengen.
Het bericht stelde: "Geen enkele deelnemer, inclusief de protocollen zelf, kan hun blootstellingsnetwerk volledig in kaart brengen." Het voegde eraan toe dat wanneer gebruikers de blootstelling niet in realtime kunnen verifiëren, ze vaak reageren door fondsen op te nemen.
Het bericht richtte zich ook op brugbeveiliging. Het beweerde dat Kelp een 1-uit-1 verifieeropstelling gebruikte, wat betekende dat één knooppunt cross-chain berichten controleerde voordat fondsen werden verplaatst. Het bericht betoogde dat dit ontwerp een enkelvoudig storingspunt creëerde binnen een product dat als gedecentraliseerd werd gepromoot.
De analyse zette ook vraagtekens bij rendementstapeling. Het stelde dat elke laag nieuwe risico's toevoegt, waaronder validator slashing, herinzetrisico's, brugfouten, contractfouten en leningsliquidaties.
Het bericht stelde dat gebruikers DeFi-producten niet alleen op basis van APY moeten beoordelen. Het betoogde dat hogere rendementen vaak verborgen risico's over verschillende verbonden systemen heen weerspiegelen, en geen eenvoudig passief inkomen.
De Kelp DAO exploit is nu onderdeel geworden van een breder debat over DeFi-beveiliging, hefboomwerking en transparantie. Het incident toonde aan hoe één storing gebruikers over verschillende platformen kan beïnvloeden, inclusief gebruikers die niet rechtstreeks interactie hadden met Kelp DAO.
