Le fondateur de Cardano avertit que le hack de KelpDAO expose le maillon le plus faible d'Ethereum

Le fondateur de Cardano, Charles Hoskinson, a utilisé son dernier livestream pour soutenir que l'exploit de KelpDAO d'environ 292 millions de dollars n'était pas simplement un autre échec de bridge, mais un avertissement plus large sur la façon dont le restaking d'Ethereum, la messagerie Cross-chain et la pile de prêts peuvent transformer une seule compromission en contagion à l'échelle du système.

Selon Hoskinson, l'attaque du 18 avril a exposé ce qu'il considère comme la partie la plus fragile de la DeFi / Finance Décentralisée moderne : pas nécessairement les Smart Contract (Contrat Intelligent) au niveau applicatif, mais les couches de vérification et les interdépendances qui se situent entre les protocoles. Il a déclaré que l'exploit, qui a impliqué environ 116 500 rsETH drainés de l'escrow Ethereum de KelpDAO, devrait forcer une conversation plus large dans l'industrie sur les hypothèses de confiance des bridges, la conception des vérificateurs, et la vitesse à laquelle les mauvaises garanties peuvent se propager dans les marchés de prêts.

Le Fondateur de Cardano Met en Garde Contre une Faille Dangereuse au Cœur de la DeFi Ethereum

Plutôt que de livrer un post-mortem standard, Hoskinson a déclaré qu'il avait pris du matériel de rapport d'incident interne et utilisé l'IA pour le transformer en un site web qui guidait les spectateurs à travers les mécanismes de l'exploit. Cette structure encadrait son point principal : l'échec, tel qu'il l'a décrit, n'a pas commencé avec des calculs de contrat défectueux au sein de KelpDAO lui-même, ni avec une faille comptable évidente chez LayerZero. Au lieu de cela, il a dit qu'il était centré sur un message Cross-chain falsifié qui a été accepté comme légitime et a permis la libération de fonds sur Ethereum.

« Donc, ce n'était pas un problème de Smart Contract (Contrat Intelligent) avec Kelp et ce n'était pas un problème de Smart Contract (Contrat Intelligent) avec LayerZero, mais c'était une falsification de message Cross-chain », a déclaré Hoskinson. « C'était donc quelque chose de nouveau et de différent. »

Le fondateur de Cardano est revenu à plusieurs reprises sur un choix de conception en particulier : l'utilisation signalée d'une configuration de vérificateur un-sur-un. Dans son explication, la meilleure pratique serait un modèle multi-vérificateur tel que trois-sur-cinq, mais la configuration de KelpDAO reposait sur un seul DVN actif. Cela, a-t-il soutenu, créait un point de défaillance unique inacceptable dans un système déjà constitué de couches de wrappers de staking, de protocoles de restaking, de bridges et de plateformes de prêt.

« L'échec était dans la logique de vérification, pas dans la logique applicative », a-t-il dit. « Kelp a tout fait correctement avec ses contrats. Ils sont audités. Ils fonctionnent bien. L'application fonctionne bien. C'est la configuration du bridge. » Hoskinson a également souligné que l'industrie manque encore d'un compte rendu établi sur l'emplacement exact de la responsabilité.

Selon son résumé, trois analyses distinctes des causes profondes ont émergé après l'exploit : une de LayerZero, une de KelpDAO, et une liée aux discussions de gouvernance de LlamaRisk et Aave, mais aucune n'est entièrement d'accord. Cela laisse en suspens la question de savoir si la rupture s'est produite dans la couche de messagerie, la configuration du vérificateur, la logique d'acceptation de KelpDAO, ou dans les jonctions entre eux.

Ce qui a rendu l'événement particulièrement significatif, à son avis, n'était pas seulement le vol lui-même mais ce qui s'est passé ensuite. Au lieu de dumper les rsETH volés sur des exchanges décentralisés, l'attaquant les aurait utilisés comme garantie sur les marchés de prêts pour emprunter des actifs plus liquides. Cela a transformé un exploit en un problème de bilan pour d'autres protocoles, laissant derrière lui ce que Hoskinson a décrit comme des garanties empoisonnées.

Il a qualifié cette dynamique de véritable nouveauté de l'incident. « Ce n'était pas seulement un hack de bridge. Cela s'est propagé aux prêts, ce qui a ensuite créé une contagion de mauvaises dettes à l'intérieur de ces protocoles de prêt. Cela a créé une ruée bancaire et nous avons vu 13 milliards de dollars de TVL retirés en très peu de temps pour un hack de 290 millions de dollars. »

Le fondateur de Cardano a déclaré que le choc de liquidité DeFi / Finance Décentralisée plus large a atteint bien au-delà de KelpDAO lui-même. Citant des rapports publics référencés dans son parcours, il a pointé au moins neuf protocoles directement affectés et a déclaré qu'Aave seul a enregistré entre 6,6 milliards et 8,45 milliards de dollars de pertes, tandis que le rsETH a évolué dans une fourchette volatile entre environ 1 600 et 2 500 dollars au cours des 24 heures suivant l'attaque.

Il a également soulevé la possibilité d'une implication de Lazarus, bien qu'il ait reconnu que l'attribution reste non confirmée. « Il y a beaucoup de preuves ici qu'il y a des connexions avec Lazarus », a-t-il dit, avant d'ajouter qu'aucune entreprise de forensique indépendante ne l'avait définitivement prouvé.

Au moment de la publication, Cardano (ADA) se négociait à 0,2504 $.