Kelp DAO 2.92 億美元的漏洞攻擊事件,再次引發了對流動性再質押(liquid restaking)和 DeFi 借貸市場風險的新疑問。
據報導,此次攻擊影響了該協議的 rsETH 橋接器,涉及 116,500 枚 rsETH,約佔其流通供應量的 18%。
此次事件並未僅限於 Kelp DAO。Aave 出現了大量提款,而 SparkLend 和 Fluid 則暫停了 rsETH 市場。Lido 也暫停了與 rsETH 有關的 earnETH,儘管其核心的 stETH 產品並未受到影響。
一位在 X 平台上名為 @whatexchange 的 DeFi 專業帳號發文,將此次事件與 2008 年金融危機相提並論。該帳號寫道:「疊加資產層次並不會消除風險。它只會壓縮並隱藏風險。」
該文章指出,rsETH 在遭駭前經歷了多個層次。用戶首先透過 Lido 質押 ETH 並獲得 stETH。這些 stETH 隨後可以轉入 Kelp DAO 和 EigenLayer,在那裡鑄造 rsETH。
rsETH 代幣隨後被用作 Aave、SparkLend 和 Fluid 等借貸平台上的抵押品。它還透過 LayerZero 橋接到其他鏈上,創建了依賴相同底層資產的打包版本。
這項分析將這種結構與 2008 年金融危機前的抵押貸款產品進行了比較。它指出,這兩種系統都透過多個金融層次重新包裝了單一基礎資產,而每個層次都依賴於前一個層次的正常運作。
在 Kelp DAO 遭駭後,多個 DeFi 平台採取了降低風險的措施。Aave 凍結了 rsETH 市場數小時,而 SparkLend 和 Fluid 則暫停了類似市場。儘管 Ethena 沒有直接的 rsETH 敞口,但作為預防措施,它也暫停了 LayerZero OFT 橋接器。
根據該文章,在不到 36 小時內,超過 62 億美元從 Aave 撤出。該帳號表示,主要問題不僅是漏洞攻擊的規模,還有難以繪製跨協議間接風險敞口的問題。
該文章指出:「沒有任何參與者,包括協議本身,能夠完全繪製其風險暴露網絡。」它補充說,當用戶無法即時驗證風險敞口時,他們通常會透過提款來應對。
該文章還著重討論了橋接器的安全性。它聲稱 Kelp 使用了 1-of-1 驗證器設置,這意味著在資金轉移之前,只有一個節點驗證跨鏈訊息。該文章指出,這種設計在一個被宣傳為去中心化的產品中,卻創造了一個單點故障。
分析還質疑了收益疊加(yield stacking)。它指出每個層次都會增加新的風險,包括驗證者罰沒(validator slashing)、再質押風險、橋接器錯誤、合約故障和借貸清算。
該文章表示,用戶不應僅憑年化收益率(APY)來判斷 DeFi 產品。它指出,更高的回報往往反映了多個互聯系統中隱藏的風險,而非簡單的被動收入。
Kelp DAO 漏洞攻擊事件現已成為關於 DeFi 安全性、槓桿和透明度更廣泛辯論的一部分。此次事件表明,一次故障可能影響多個平台上的用戶,包括那些未直接與 Kelp DAO 互動的用戶。
