Kelp's exploit van $292M wakkert debat aan over DeFi-risico's à la 2008

De $292 miljoen exploit van Kelp DAO heeft nieuwe vragen opgeworpen over risico's in liquid restaking- en DeFi-leenmarkten. 

De aanval trof naar verluidt de rsETH-brug van het protocol en betrof 116.500 rsETH, gelijk aan ongeveer 18% van de circulerende voorraad.

Het incident bleef niet beperkt tot Kelp DAO. Aave zag grote opnames, terwijl SparkLend en Fluid rsETH-markten pauzeerden. Lido pauzeerde ook earnETH, dat blootstelling had aan rsETH, hoewel het kernproduct stETH niet werd beïnvloed.

Een bericht van een DeFi-gericht account, bekend als @whatexchange op X, vergeleek de gebeurtenis met de financiële crisis van 2008. Het account schreef: "Het stapelen van activalaagen verwijdert geen risico. Het comprimeert en verbergt het."

Gelaagde yieldproducten onder de loep

Het bericht stelde dat rsETH voor de exploit door meerdere lagen bewoog. Gebruikers stakeden eerst ETH via Lido en ontvingen stETH. Dat stETH kon vervolgens naar Kelp DAO en EigenLayer gaan, waar rsETH werd gemint.

Het rsETH-token werd vervolgens gebruikt als onderpand op leenplatforms zoals Aave, SparkLend en Fluid. Het werd ook via LayerZero naar andere ketens gebridged, waarmee wrapped versies werden gecreëerd die afhankelijk waren van hetzelfde onderliggende actief.

De analyse vergeleek deze structuur met hypotheekproducten vóór de crisis van 2008. Er werd gesteld dat beide systemen één basisactief verpakten via meerdere financiële lagen, waarbij elke laag vertrouwde op het correct functioneren van de vorige.

Marktreactie toont verborgen blootstelling

Na de Kelp DAO-exploit namen verschillende DeFi-platforms maatregelen om risico's te verminderen. Aave bevroor rsETH-markten gedurende enkele uren, terwijl SparkLend en Fluid vergelijkbare markten pauzeerden. Ethena pauzeerde ook LayerZero OFT-bruggen als voorzorgsmaatregel, ondanks dat het geen directe rsETH-blootstelling had.

Volgens het bericht verliet meer dan $6,2 miljard Aave binnen minder dan 36 uur. Het account zei dat het belangrijkste probleem niet alleen de omvang van de exploit was, maar de moeilijkheid om indirecte blootstelling over protocollen heen in kaart te brengen.

Het bericht stelde: "Geen enkele deelnemer, inclusief de protocollen zelf, kan hun blootstellingsnetwerk volledig in kaart brengen." Er werd aan toegevoegd dat wanneer gebruikers blootstelling niet in realtime kunnen verifiëren, ze vaak reageren door fondsen op te nemen.

DeFi-risicodebat verschuift naar systeemontwerp

Het bericht richtte zich ook op brugbeveiliging. Er werd beweerd dat Kelp een 1-van-1 verificateur-opstelling gebruikte, wat betekent dat één node cross-chain berichten verifieerde voordat fondsen werden verplaatst. Het bericht stelde dat dit ontwerp een enkel storingspunt creëerde in een product dat als gedecentraliseerd werd aangeprezen.

De analyse stelde ook yield stacking ter discussie. Er werd gesteld dat elke laag nieuwe risico's toevoegt, waaronder validator slashing, restaking-risico's, brugfouten, contractstoringen en leenliquidaties.

Het bericht zei dat gebruikers DeFi-producten niet alleen op APY moeten beoordelen. Er werd gesteld dat hogere rendementen vaak verborgen risico's weerspiegelen over meerdere verbonden systemen, en geen eenvoudig passief inkomen zijn.

De Kelp DAO-exploit is nu onderdeel geworden van een breder debat over DeFi-beveiliging, hefboomwerking en transparantie. Het incident toonde aan hoe één storing gebruikers op meerdere platforms kan treffen, inclusief gebruikers die niet direct met Kelp DAO hebben geinterageerd.