L'exploit de 292 M$ de Kelp déclenche un débat sur les risques DeFi à la manière de 2008

L'exploit de 292 millions de dollars de Kelp DAO soulève de nouvelles questions sur les risques dans les marchés de liquid restaking et de prêt DeFi. 

L'attaque aurait affecté le bridge rsETH du protocole et impliqué 116 500 rsETH, soit environ 18 % de l'offre en circulation.

L'incident ne s'est pas limité à Kelp DAO. Aave a enregistré d'importants retraits, tandis que SparkLend et Fluid ont suspendu leurs marchés rsETH. Lido a également suspendu earnETH, qui était exposé au rsETH, même si son produit phare stETH n'a pas été affecté.

Une publication d'un compte axé sur la DeFi, connu sous le nom de @whatexchange sur X, a comparé l'événement à la crise financière de 2008. Le compte a écrit : « Empiler des couches d'actifs ne supprime pas le risque. Cela le compresse et le dissimule. »

Les produits de rendement en couches font l'objet d'un examen approfondi

La publication soutenait que le rsETH avait traversé plusieurs couches avant l'exploit. Les utilisateurs ont d'abord staké de l'ETH via Lido et reçu du stETH. Ce stETH pouvait ensuite être transféré vers Kelp DAO et EigenLayer, où le rsETH était émis.

Le token rsETH était ensuite utilisé comme collatéral sur des plateformes de prêt telles qu'Aave, SparkLend et Fluid. Il était également bridgé via LayerZero vers d'autres chaînes, créant des versions wrapped qui dépendaient du même actif sous-jacent.

L'analyse a comparé cette structure aux produits hypothécaires d'avant la crise de 2008. Elle affirmait que les deux systèmes reconditionnaient un actif de base à travers plusieurs couches financières, chaque couche reposant sur le bon fonctionnement de la précédente.

La réaction du marché révèle une exposition cachée

Après l'exploit de Kelp DAO, plusieurs plateformes DeFi ont pris des mesures pour réduire les risques. Aave a gelé les marchés rsETH pendant plusieurs heures, tandis que SparkLend et Fluid ont suspendu des marchés similaires. Ethena a également suspendu les bridges LayerZero OFT par précaution, malgré l'absence d'exposition directe au rsETH.

Selon la publication, plus de 6,2 milliards de dollars ont quitté Aave en moins de 36 heures. Le compte a indiqué que le problème principal n'était pas seulement la taille de l'exploit, mais la difficulté de cartographier l'exposition indirecte entre les protocoles.

La publication a déclaré : « Aucun participant, y compris les protocoles eux-mêmes, ne peut cartographier entièrement son réseau d'exposition. » Elle a ajouté que lorsque les utilisateurs ne peuvent pas vérifier leur exposition en temps réel, ils réagissent souvent en retirant leurs fonds.

Le débat sur les risques DeFi se déplace vers la conception du système

La publication s'est également penchée sur la sécurité des bridges. Elle affirmait que Kelp utilisait une configuration de vérificateur 1-of-1, ce qui signifie qu'un seul nœud vérifiait les messages cross-chain avant que les fonds ne soient déplacés. La publication soutenait que cette conception créait un point de défaillance unique au sein d'un produit commercialisé comme décentralisé.

L'analyse a également remis en question le yield stacking. Elle indiquait que chaque couche ajoute de nouveaux risques, notamment le slashing des validateurs, les risques de restaking, les bugs de bridge, les défaillances de contrats et les liquidations de prêts.

La publication affirmait que les utilisateurs ne devraient pas juger les produits DeFi uniquement sur la base de l'APY. Elle soutenait que des rendements plus élevés reflètent souvent des risques cachés dans plusieurs systèmes interconnectés, et non un simple revenu passif.

L'exploit de Kelp DAO est désormais devenu le sujet d'un débat plus large sur la sécurité, l'effet de levier et la transparence dans la DeFi. L'incident a montré comment une seule défaillance peut affecter les utilisateurs sur plusieurs plateformes, y compris des utilisateurs qui n'ont pas interagi directement avec Kelp DAO.