Exploit-ul de 292 de milioane de dolari al Kelp DAO a ridicat noi întrebări despre risc pe piețele de restaking lichid și de lending DeFi.
Atacul ar fi afectat bridge-ul rsETH al protocolului și a implicat 116.500 rsETH, echivalentul a aproximativ 18% din oferta circulantă.
Incidentul nu s-a limitat la Kelp DAO. Aave a înregistrat retrageri mari, în timp ce SparkLend și Fluid au întrerupt piețele rsETH. Lido a suspendat, de asemenea, earnETH, care avea expunere la rsETH, chiar dacă produsul său de bază stETH nu a fost afectat.
O postare a unui cont axat pe DeFi, cunoscut sub numele de @whatexchange pe X, a comparat evenimentul cu criza financiară din 2008. Contul a scris: „Stratificarea activelor nu elimină riscul. Îl comprimă și îl ascunde.”
Postarea a susținut că rsETH a trecut prin mai multe straturi înainte de exploit. Utilizatorii au mizat (staked) ETH prin Lido și au primit stETH. Acel stETH putea apoi să se mute în Kelp DAO și EigenLayer, unde a fost mințat rsETH.
Tokenul rsETH a fost apoi folosit ca garanție pe platforme de lending precum Aave, SparkLend și Fluid. A fost, de asemenea, transferat prin intermediul LayerZero către alte blockchain-uri, creând versiuni wrapped (încapsulate) care depindeau de același activ subiacent.
Analiza a comparat această structură cu produsele ipotecare de dinainte de criza din 2008. A spus că ambele sisteme au reîmpachetat un singur activ de bază prin mai multe straturi financiare, în timp ce fiecare strat se baza pe funcționarea așteptată a celui precedent.
După exploit-ul Kelp DAO, mai multe platforme DeFi au acționat pentru a reduce riscul. Aave a înghețat piețele rsETH pentru câteva ore, în timp ce SparkLend și Fluid au întrerupt piețe similare. Ethena a întrerupt, de asemenea, bridge-urile LayerZero OFT ca măsură de precauție, în ciuda faptului că nu avea expunere directă la rsETH.
Potrivit postării, peste 6,2 miliarde de dolari au ieșit din Aave în mai puțin de 36 de ore. Contul a spus că principala problemă nu a fost doar dimensiunea exploit-ului, ci și dificultatea de a cartografia expunerea indirectă între protocoale.
Postarea a afirmat: „Niciun participant, inclusiv protocoalele înseși, nu își poate cartografia pe deplin rețeaua de expunere.” A adăugat că atunci când utilizatorii nu pot verifica expunerea în timp real, aceștia reacționează adesea prin retragerea fondurilor.
Postarea s-a concentrat și pe securitatea bridge-urilor. A susținut că Kelp a folosit o configurație de tip verificator 1-din-1, ceea ce înseamnă că un singur nod verifica mesajele cross-chain înainte ca fondurile să fie transferate. Postarea a argumentat că acest design a creat un punct unic de eșec într-un produs comercializat ca fiind descentralizat.
Analiza a pus sub semnul întrebării și stratificarea randamentelor (yield stacking). A afirmat că fiecare strat adaugă noi riscuri, incluzând slashing-ul validatorilor, riscuri de restaking, erori de bridge, eșecuri de contract și lichidări de lending.
Postarea a spus că utilizatorii nu ar trebui să judece produsele DeFi doar după APY. A argumentat că randamentele mai mari reflectă adesea riscuri ascunse în mai multe sisteme conectate, nu un simplu venit pasiv.
Exploit-ul Kelp DAO a devenit acum parte a unei dezbateri mai ample privind securitatea, levierul și transparența DeFi. Incidentul a arătat cum o singură defecțiune poate afecta utilizatori de pe mai multe platforme, inclusiv utilizatori care nu au interacționat direct cu Kelp DAO.
