O exploit de 292 milhões de dólares da Kelp gera debate sobre riscos DeFi ao estilo de 2008

O exploit de 292 milhões de dólares da Kelp DAO levantou novas questões sobre o risco nos mercados de liquid restaking e de empréstimos DeFi. 

O ataque terá afetado a bridge rsETH do protocolo e envolveu 116.500 rsETH, equivalente a cerca de 18% do fornecimento em circulação.

O incidente não se limitou à Kelp DAO. A Aave registou grandes saques, enquanto a SparkLend e a Fluid suspenderam os mercados de rsETH. A Lido também suspendeu o earnETH, que tinha exposição ao rsETH, apesar de o seu produto principal stETH não ter sido afetado.

Uma publicação de uma conta focada em DeFi, conhecida como @whatexchange no X, comparou o evento à crise financeira de 2008. A conta escreveu: "Empilhar camadas de ativos não elimina o risco. Comprime-o e esconde-o."

Produtos de yield em camadas enfrentam escrutínio

A publicação argumentou que o rsETH passou por várias camadas antes do exploit. Os utilizadores primeiro fizeram staking de ETH através da Lido e receberam stETH. Esse stETH podia então ser transferido para a Kelp DAO e a EigenLayer, onde o rsETH era cunhado.

O token rsETH foi depois utilizado como colateral em plataformas de empréstimos como a Aave, SparkLend e Fluid. Também foi bridged através do LayerZero para outras cadeias, criando versões wrapped que dependiam do mesmo ativo subjacente.

A análise comparou esta estrutura aos produtos hipotecários anteriores à crise de 2008. Afirmou que ambos os sistemas reembalaram um ativo base através de várias camadas financeiras, enquanto cada camada dependia do funcionamento esperado da anterior.

A resposta do mercado revela exposição oculta

Após o exploit da Kelp DAO, várias plataformas DeFi agiram para reduzir o risco. A Aave congelou os mercados de rsETH durante várias horas, enquanto a SparkLend e a Fluid suspenderam mercados semelhantes. A Ethena também suspendeu as bridges LayerZero OFT por precaução, apesar de não ter exposição direta ao rsETH.

Segundo a publicação, mais de 6,2 mil milhões de dólares saíram da Aave em menos de 36 horas. A conta afirmou que o principal problema não foi apenas a dimensão do exploit, mas a dificuldade em mapear a exposição indireta entre protocolos.

A publicação declarou: "Nenhum participante, incluindo os próprios protocolos, consegue mapear completamente a sua rede de exposição." Acrescentou que, quando os utilizadores não conseguem verificar a exposição em tempo real, tendem a reagir retirando os fundos.

O debate sobre o risco DeFi desloca-se para o design do sistema

A publicação também se focou na segurança das bridges. Alegou que a Kelp utilizou uma configuração de verificador 1 de 1, o que significa que um único nó verificava as mensagens cross-chain antes de os fundos serem movidos. A publicação argumentou que este design criou um ponto único de falha num produto comercializado como descentralizado.

A análise também questionou o yield stacking. Afirmou que cada camada acrescenta novos riscos, incluindo validator slashing, riscos de restaking, bugs de bridges, falhas de contratos e liquidações de empréstimos.

A publicação disse que os utilizadores não devem avaliar os produtos DeFi apenas pelo APY. Argumentou que retornos mais elevados frequentemente refletem riscos ocultos em vários sistemas interligados, e não rendimento passivo simples.

O exploit da Kelp DAO tornou-se agora parte de um debate mais amplo sobre segurança, alavancagem e transparência em DeFi. O incidente mostrou como uma única falha pode afetar utilizadores em várias plataformas, incluindo utilizadores que não interagiram diretamente com a Kelp DAO.