O exploit de US$ 292 milhões da Kelp DAO levantou novas questões sobre o risco nos mercados de restaking líquido e empréstimos DeFi.
O ataque teria afetado a ponte rsETH do protocolo e envolveu 116.500 rsETH, o equivalente a cerca de 18% da oferta circulante.
O incidente não se limitou à Kelp DAO. A Aave registrou grandes retiradas, enquanto SparkLend e Fluid pausaram os mercados de rsETH. O Lido também pausou o earnETH, que tinha exposição ao rsETH, embora seu produto principal stETH não tenha sido afetado.
Uma publicação de uma conta focada em DeFi, conhecida como @whatexchange no X, comparou o evento à crise financeira de 2008. A conta escreveu: “Empilhar camadas de ativos não remove o risco. Ele o comprime e o oculta.”
A publicação argumentou que o rsETH passou por várias camadas antes do exploit. Os usuários primeiro fizeram stake de ETH através do Lido e receberam stETH. Esse stETH poderia então ser movido para a Kelp DAO e EigenLayer, onde o rsETH era cunhado.
O token rsETH foi então usado como colateral em plataformas de empréstimo como Aave, SparkLend e Fluid. Ele também foi transferido via ponte através do LayerZero para outras cadeias, criando versões empacotadas que dependiam do mesmo ativo subjacente.
A análise comparou essa estrutura aos produtos hipotecários antes da crise de 2008. Ela afirmou que ambos os sistemas reembalaram um ativo base através de várias camadas financeiras, enquanto cada camada dependia do funcionamento esperado da anterior.
Após o exploit da Kelp DAO, várias plataformas DeFi agiram para reduzir o risco. A Aave congelou os mercados de rsETH por várias horas, enquanto SparkLend e Fluid pausaram mercados semelhantes. A Ethena também pausou as pontes OFT da LayerZero como precaução, apesar de não ter exposição direta ao rsETH.
De acordo com a publicação, mais de US$ 6,2 bilhões saíram da Aave em menos de 36 horas. A conta disse que a principal questão não era apenas o tamanho do exploit, mas a dificuldade de mapear a exposição indireta entre os protocolos.
A publicação afirmou: “Nenhum participante, incluindo os próprios protocolos, pode mapear totalmente sua rede de exposição.” E acrescentou que, quando os usuários não conseguem verificar a exposição em tempo real, muitas vezes reagem retirando fundos.
A publicação também se concentrou na segurança das pontes. Ela alegou que a Kelp usava uma configuração de verificador 1-de-1, o que significa que um nó verificava as mensagens entre cadeias antes que os fundos fossem movimentados. A publicação argumentou que esse design criava um ponto único de falha dentro de um produto comercializado como descentralizado.
A análise também questionou o empilhamento de rendimentos. Ela disse que cada camada adiciona novos riscos, incluindo slashing de validador, riscos de restaking, bugs na ponte, falhas de contrato e liquidações de empréstimos.
A publicação afirmou que os usuários não devem julgar produtos DeFi apenas pelo APY. Ela argumentou que retornos mais altos frequentemente refletem risco oculto em vários sistemas conectados, e não uma simples renda passiva.
O exploit da Kelp DAO agora se tornou parte de um debate mais amplo sobre segurança, alavancagem e transparência em DeFi. O incidente mostrou como uma falha pode afetar usuários em várias plataformas, incluindo aqueles que não interagiram diretamente com a Kelp DAO.
