Kelp DAO heeft publiekelijk een rapport betwist dat het rsETH bridge-incident karakteriseert als een exploit, met het argument dat LayerZero standaardinstellingen, niet een opzettelijke aanval, verantwoordelijk waren voor een gerapporteerd verlies van $290 miljoen. Het geschil herformuleert het incident van 18 april van externe exploitatie naar een infrastructuurconfiguratiefout.
Wat het rsETH bridge-aanvalsrapport beweerde
Wat er naar verluidt verloren ging
Een beveiligingsbeoordeling gepubliceerd door CredShields beschreef het rsETH bridge-incident als een exploit waarbij de cross-chain bridge-infrastructuur van Kelp DAO betrokken was, met een vermelding van ongeveer $290 miljoen aan verliezen. Het rapport gebruikte taal die consistent was met een opzettelijke externe aanval.
Waarom het incident werd beschreven als een bridge-aanval
Het CredShields-rapport fraamde de gebeurtenis met exploit-terminologie, wat impliceerde dat een dreigingsactor een kwetsbaarheid in het bridge-mechanisme identificeerde en benuttte. Deze karakterisering plaatste het incident naast andere spraakmakende DeFi bridge-hacks in plaats van het te behandelen als een operationele fout.
De bewoordingen in de kop zelf signaleren echter een betwiste karakterisering. De reactie van Kelp DAO, gedocumenteerd in een Aave governance-thread, betwist de exploit-first interpretatie direct.
Waarom Kelp DAO het aanvalsverhaal betwist
De centrale weerlegging van Kelp DAO
Het tegenpositie van Kelp DAO, gepresenteerd in de Aave governance-discussie, verwerpt het aanvalslabel volledig. Het protocol houdt vol dat het verlies voortkwam uit hoe de cross-chain messaging-standaardinstellingen van LayerZero waren geconfigureerd, niet uit een tegenstander die een nieuw exploitpad ontdekte.
Dit is geen klein semantisch onderscheid. Het classificeren van een incident als een aanval impliceert beveiligingsnalatigheid bij het verdedigen tegen externe dreigingen. Het classificeren als een configuratiefout verschuift de verantwoordelijkheid naar infrastructuurstandaardinstellingen en integratiekeuzes.
Welke delen van het rapport worden betwist
Kelp DAO betwist zowel het causatiemechanisme als het geïmpliceerde verhaal. Het protocol betwist niet dat er verliezen zijn opgetreden, maar het betwist de karakterisering door CredShields van hoe en waarom die verliezen plaatsvonden.
Het conflict is specifiek: het CredShields-rapport wijst causatie toe aan een exploitvector, terwijl de governance-weerlegging van Kelp DAO causatie toeschrijft aan LayerZero standaardparameters die onvoldoende waren voor de waarde die werd beveiligd.
Hoe LayerZero standaardinstellingen het focuspunt werden
De rol van standaardinstellingen in de versie van gebeurtenissen van Kelp DAO
Volgens het verslag van Kelp DAO in de governance-thread, misten de standaardinstellingen van LayerZero voor cross-chain berichtverificatie de beveiligingsgaranties die nodig zijn voor hoogwaardige bridged assets. Het protocol stelt dat deze fabrieksstandaardinstellingen de voorwaarden voor het verlies creëerden zonder een geavanceerde exploit te vereisen.
Standaardinstellingen in cross-chain messaging bepalen hoe transacties over netwerken worden gevalideerd. Als ze ongewijzigd blijven, kunnen ze dezelfde verificatiedrempel toepassen op een overdracht van $100 en een overdracht van $100 miljoen, waardoor risico ontstaat dat evenredig is aan de waarde zonder evenredige beveiliging.
Waarom een configuratieprobleem verschilt van een aanvalsclaim
Als de framing van Kelp DAO standhoudt, wordt het incident een kwestie van gedeelde verantwoordelijkheid tussen protocollen die bouwen op cross-chain infrastructuur en de messaging-lagen waarvan ze afhankelijk zijn. Dit is fundamenteel anders dan een scenario waarin een externe aanvaller een zero-day kwetsbaarheid vond.
Een apart rapport dat melding maakt van de erkenning door LayerZero van de Lazarus Group als een waarschijnlijke actor in gerelateerde cross-chain incidenten voegt complexiteit toe. Het bestaan van dreigingsactoren op staatsniveau die zich richten op bridge-infrastructuur valideert niet automatisch de exploit- of configuratieframing voor dit specifieke incident.
Wat het verlies van $290 miljoen betekent voor rsETH en DeFi-risico
Waarom het bedrag van $290 miljoen ertoe doet
Het gerapporteerde verlies plaatst dit onder de grootste DeFi-incidenten in 2026. Voor rsETH-houders en protocollen met rsETH-blootstelling heeft de bepaling van de hoofdoorzaak direct invloed op herstellingsverwachtingen, verzekeringsclaims en vertrouwen in het actief in de toekomst.
De Aave governance-discussie weerspiegelt hoe downstream-protocollen de blootstelling aan liquid restaking-tokens opnieuw beoordelen. Wanneer een bridge-incident van deze omvang zich voordoet, moeten tegenpartijen evalueren of de infrastructuur van het onderliggende actief voldoet aan hun risiconormen, een zorg vergelijkbaar met die welke worden geuit wanneer instellingen significante ETH-posities aanhouden via complexe bewaarregelingen.
Vragen die rsETH-houders en tegenpartijen hierna zullen stellen
Het classificatiegeschil heeft praktische gevolgen. Als het incident wordt bestempeld als een configuratiefout, kan de verantwoordelijkheid deels bij LayerZero liggen voor ontoereikende standaardinstellingen en deels bij Kelp DAO voor het niet overschrijven ervan. Als het als een exploit wordt bestempeld, krijgt Kelp DAO strenger toezicht op het ontwerp van de bridge-beveiliging.
Projecten die cross-chain functionaliteit bouwen, inclusief projecten die verse financiering nastreven voor infrastructuurontwikkeling, zullen moeilijkere vragen krijgen over hun messaging layer-configuraties. Het incident benadrukt een hiaat in DeFi-beveiligingsnormen: er is momenteel geen branchebrede vereiste die verplicht dat protocollen standaard bridge-instellingen overschrijven voordat ze live gaan met gebruikersfondsen.
Voor protocollen die zich bezighouden met verantwoordelijk bestuur en transparantie, onderstreept het geschil dat incidentclassificatie niet louter academisch is. Het bepaalt wie betaalt, wie vertrouwen herbouwt en wat er verandert in hoe cross-chain infrastructuur wordt ingezet.
FAQ over het Kelp DAO en rsETH-incident
Heeft Kelp DAO een rsETH bridge-aanval bevestigd?
Nee. Kelp DAO betwist expliciet de "aanvals"-karakterisering in de Aave governance-thread, met het argument dat het verlies voortkwam uit de standaardconfiguratie-instellingen van LayerZero in plaats van een opzettelijke exploit door een externe aanvaller.
Wat gaf Kelp DAO de schuld voor het verlies van $290 miljoen?
Kelp DAO wees naar de standaardinstellingen van LayerZero voor cross-chain berichtverificatie, met de bewering dat deze standaardinstellingen ontoereikend waren voor het beveiligen van de waarde die via de bridge werd overgedragen.
Waarom zijn de standaardinstellingen van LayerZero centraal in het geschil?
Standaardinstellingen bepalen hoe cross-chain berichten worden gevalideerd. Kelp DAO stelt dat ongewijzigde standaardinstellingen een beveiligingshiaat creëerden dat tot het verlies leidde, waardoor het een kwestie van configuratieverantwoordelijkheid is in plaats van een nieuwe exploit.
Wordt dit gefraamd als een hack of een configuratieprobleem?
Beide framings bestaan in het openbare dossier. Het CredShields-rapport gebruikt exploit-taal, terwijl de governance-weerlegging van Kelp DAO het verlies toeschrijft aan standaardinstellingen. De classificatie blijft betwist vanaf april 2026.
Disclaimer: Dit artikel is alleen voor informatieve doeleinden en vormt geen financieel of beleggingsadvies. Cryptocurrency- en digitale activamarkten brengen aanzienlijk risico met zich mee. Doe altijd uw eigen onderzoek voordat u beslissingen neemt.
Bron: https://coincu.com/defi/kelp-dao-rseth-bridge-attack-report-layerzero-290m-loss/
