Vụ tấn công trị giá 292 triệu đô la của Kelp DAO đã đặt ra những câu hỏi mới về rủi ro trên các thị trường liquid restaking và cho vay DeFi.
Vụ tấn công được cho là đã ảnh hưởng đến cầu nối rsETH của giao thức và liên quan đến 116.500 rsETH, tương đương khoảng 18% tổng nguồn cung lưu hành.
Sự cố không chỉ giới hạn ở Kelp DAO. Aave chứng kiến lượng rút tiền lớn, trong khi SparkLend và Fluid đã tạm dừng các thị trường rsETH. Lido cũng tạm dừng earnETH, vốn có rủi ro liên quan đến rsETH, mặc dù sản phẩm stETH cốt lõi của họ không bị ảnh hưởng.
Một bài đăng của một tài khoản tập trung vào DeFi, được biết đến với tên @whatexchange trên X, đã so sánh sự kiện này với cuộc khủng hoảng tài chính năm 2008. Tài khoản này viết, “Việc xếp chồng các lớp tài sản không loại bỏ rủi ro. Nó nén và che giấu rủi ro.”
Bài đăng lập luận rằng rsETH đã di chuyển qua nhiều lớp trước khi vụ tấn công xảy ra. Người dùng đầu tiên đã stake ETH thông qua Lido và nhận được stETH. Sau đó, stETH này có thể chuyển vào Kelp DAO và EigenLayer, nơi rsETH được mint.
Token rsETH sau đó được sử dụng làm tài sản thế chấp trên các nền tảng cho vay như Aave, SparkLend và Fluid. Nó cũng được cầu nối qua LayerZero đến các chuỗi khác, tạo ra các phiên bản wrapped phụ thuộc vào cùng một tài sản cơ sở.
Phân tích này đã so sánh cấu trúc này với các sản phẩm thế chấp trước cuộc khủng hoảng năm 2008. Nó nói rằng cả hai hệ thống đều đóng gói lại một tài sản cơ sở thông qua nhiều lớp tài chính, trong khi mỗi lớp đều phụ thuộc vào lớp trước đó hoạt động như mong đợi.
Sau vụ tấn công Kelp DAO, một số nền tảng DeFi đã hành động để giảm thiểu rủi ro. Aave đã đóng băng các thị trường rsETH trong vài giờ, trong khi SparkLend và Fluid tạm dừng các thị trường tương tự. Ethena cũng tạm dừng các cầu nối LayerZero OFT như một biện pháp phòng ngừa, mặc dù không có rủi ro rsETH trực tiếp.
Theo bài đăng, hơn 6,2 tỷ đô la đã rời khỏi Aave trong vòng chưa đầy 36 giờ. Tài khoản này cho biết vấn đề chính không chỉ là quy mô của vụ tấn công mà còn là khó khăn trong việc lập bản đồ các rủi ro gián tiếp giữa các giao thức.
Bài đăng nêu rõ, “Không một người tham gia nào, kể cả các giao thức, có thể lập bản đồ đầy đủ mạng lưới rủi ro của họ.” Nó nói thêm rằng khi người dùng không thể xác minh rủi ro trong thời gian thực, họ thường phản ứng bằng cách rút tiền.
Bài đăng cũng tập trung vào bảo mật cầu nối. Nó tuyên bố Kelp đã sử dụng thiết lập trình xác minh 1-trên-1, nghĩa là một nút duy nhất xác minh các thông báo xuyên chuỗi trước khi tiền được chuyển. Bài đăng lập luận rằng thiết kế này đã tạo ra một điểm lỗi duy nhất bên trong một sản phẩm được quảng cáo là phi tập trung.
Phân tích cũng đặt câu hỏi về việc xếp chồng lợi nhuận. Nó nói rằng mỗi lớp bổ sung thêm các rủi ro mới, bao gồm cắt giảm validator, rủi ro restaking, lỗi cầu nối, lỗi hợp đồng và thanh lý khoản vay.
Bài đăng cho rằng người dùng không nên đánh giá các sản phẩm DeFi chỉ bằng APY. Nó lập luận rằng lợi nhuận cao hơn thường phản ánh rủi ro tiềm ẩn trên nhiều hệ thống được kết nối, chứ không phải là thu nhập thụ động đơn giản.
Vụ tấn công Kelp DAO giờ đây đã trở thành một phần của cuộc tranh luận rộng hơn về bảo mật DeFi, đòn bẩy và tính minh bạch. Sự cố này cho thấy một lỗi duy nhất có thể ảnh hưởng đến người dùng trên nhiều nền tảng, bao gồm cả những người dùng không tương tác trực tiếp với Kelp DAO.
