Atak na Kelp DAO na kwotę 292 milionów dolarów wzbudził nowe pytania dotyczące ryzyka na rynkach płynnego restakingu i pożyczek DeFi.
Atak podobno dotyczył mostu rsETH protokołu i obejmował 116 500 rsETH, co stanowiło około 18% podaży w obiegu.
Incydent nie ograniczył się do Kelp DAO. Aave odnotowało duże wypłaty, podczas gdy SparkLend i Fluid wstrzymały rynki rsETH. Lido również wstrzymało earnETH, który miał ekspozycję na rsETH, mimo że jego główny produkt stETH nie został naruszony.
Post od konta skupionego na DeFi, znanego jako @whatexchange na X, porównał to wydarzenie do kryzysu finansowego z 2008 roku. Konto napisało: „Nakładanie warstw aktywów nie eliminuje ryzyka. Kompresuje je i ukrywa”.
W poście argumentowano, że rsETH przemieszczało się przez kilka warstw przed atakiem. Użytkownicy najpierw stakowali ETH za pośrednictwem Lido i otrzymywali stETH. To stETH mogło następnie trafić do Kelp DAO i EigenLayer, gdzie zostało wybite rsETH.
Token rsETH był następnie wykorzystywany jako zabezpieczenie na platformach pożyczkowych, takich jak Aave, SparkLend i Fluid. Był również przerzucany za pośrednictwem LayerZero do innych łańcuchów, tworząc owinięte wersje, które zależały od tego samego aktywa bazowego.
Analiza porównała tę strukturę do produktów hipotecznych sprzed kryzysu z 2008 roku. Stwierdzono, że oba systemy przepakowywały jedno aktywo bazowe przez kilka warstw finansowych, podczas gdy każda warstwa polegała na tym, że poprzednia działała zgodnie z oczekiwaniami.
Po ataku na Kelp DAO, kilka platform DeFi przystąpiło do redukcji ryzyka. Aave zamroziło rynki rsETH na kilka godzin, podczas gdy SparkLend i Fluid wstrzymały podobne rynki. Ethena również wstrzymała mosty LayerZero OFT jako środek ostrożności, mimo braku bezpośredniej ekspozycji na rsETH.
Według postu, ponad 6,2 miliarda dolarów opuściło Aave w mniej niż 36 godzin. Konto stwierdziło, że głównym problemem była nie tylko skala ataku, ale także trudność w mapowaniu pośredniej ekspozycji w protokołach.
Post stwierdził: „Żaden uczestnik, w tym same protokoły, nie może w pełni zmapować swojej sieci ekspozycji”. Dodano, że gdy użytkownicy nie są w stanie zweryfikować ekspozycji w czasie rzeczywistym, często reagują wypłacając środki.
Post skupiał się również na bezpieczeństwie mostów. Twierdzono, że Kelp stosował konfigurację weryfikatora 1-z-1, co oznaczało, że jeden węzeł weryfikował wiadomości międzyłańcuchowe, zanim środki zostały przeniesione. W poście argumentowano, że taki projekt stworzył pojedynczy punkt awarii w produkcie promowanym jako zdecentralizowany.
Analiza zakwestionowała również kumulowanie zysków. Stwierdzono, że każda warstwa dodaje nowe ryzyka, w tym slashing walidatorów, ryzyka restakingu, błędy w mostach, awarie kontraktów i likwidacje pożyczek.
W poście stwierdzono, że użytkownicy nie powinni oceniać produktów DeFi wyłącznie na podstawie APY. Argumentowano, że wyższe zwroty często odzwierciedlają ukryte ryzyko w kilku połączonych systemach, a nie prosty dochód pasywny.
Atak na Kelp DAO stał się teraz częścią szerszej debaty na temat bezpieczeństwa, lewarowania i przejrzystości w DeFi. Incydent pokazał, jak jedna awaria może wpłynąć na użytkowników na kilku platformach, w tym na tych, którzy nie wchodzili bezpośrednio w interakcje z Kelp DAO.
