Exploatarea de 292 milioane de dolari a Kelp DAO a declanșat un val de reacții în întreaga industrie crypto, dezvoltatorii și traderii avertizând că incidentul a expus defecte mai profunde în modul în care este construită finanța descentralizată (DeFi).
Datele distribuite de participanții pe piață arată că impactul imediat s-a răspândit mult dincolo de protocolul hackuit.
„Hackul rsETH conduce la retrageri pe toate protocoalele de creditare, chiar și pe solana și protocoale neafectate", a spus 0xngmi într-o postare duminică, subliniind ieșiri abrupte de fonduri, inclusiv „Aave: -6.200m (-23%) intrări nete" și scăderi mai mici, dar notabile pe Morpho, Sky și JupLend. rsETH este ether-ul re-stakeit al protocolului de liquid restaking Kelp DAO și este un Liquid Restaking Token (LRT) care permite utilizatorilor să obțină recompense de staking și restaking ether, menținând în același timp activele lichide, chiar și atunci când sunt blocate în staking.
Acea presiune s-a transformat rapid în ceva mai sever. O postare larg circulată de Josu San Martin a descris un stres de lichiditate în cascadă în interiorul piețelor de creditare: „Deponenții ETH nu pot retrage ETH, așa că împrumută stablecoin-uri pentru a 'retrage' fonduri... Aceasta este o retragere în masă pe AAVE."
În timp ce Stani Kulechov, fondatorul Aave, a spus că exploatarea a fost externă și că contractele protocolului nu au fost compromise, deponenții au intrat în panică. Valoarea totală blocată (sau depozitele) a scăzut de la 26,4 miliarde de dolari pe 18 aprilie la aproape 20 de miliarde de dolari în orele de dimineață din SUA de duminică, conform DefiLlama. Token-ul AAVE a scăzut, de asemenea, cu peste 18%, deoarece deponenții s-au grăbit să-și retragă banii de-a lungul weekend-ului.
Prețul token-ului Aave (CoinDesk)Un 'studiu de caz'
Exploatarea în sine a devenit un punct focal pentru ingineri și dezvoltatori.
Mai mulți dezvoltatori au respins presupunerile timpurii că problema provine din infrastructura de bază. „Exploatarea KelpDAO (~290M $) NU este o eroare de protocol LayerZero. Este o problemă de configurare și un studiu de caz la care fiecare proiect cu un token cross-chain trebuie să se uite astăzi", a scris o analiză tehnică de cryptogoblin.
Thread-ul a detaliat cum un singur punct de verificare a permis atacul. „O semnătură și 116.500 rsETH au apărut din senin pe Ethereum", a spus postarea, descriind un sistem în care „contractele [inteligente] nu au fost sparte. Stratul de verificare a fost", a susținut postarea.
Alții au susținut că problema este mai profundă decât o singură alegere de configurare.
O critică, care folosește pseudonimul Fishy Catfish pe X, a prezentat-o ca o deficiență de design, susținând că: „nu există un nivel minim de securitate... O configurare poate fi un DVN 1/1 și DVN-ul pe care l-ai ales poate fi un singur nod rulat de o singură entitate." Un DVN (Decentralized Verifier Network) în DeFi, în special în LayerZero V2, este o entitate independentă responsabilă pentru validarea și atestarea autenticității mesajelor trimise între diferite rețele blockchain. În esență, DVN-urile verifică hash-urile de mesaje între un lanț sursă și un lanț de destinație.
Pentru a clarifica punctul, autorul a făcut o comparație din lumea reală: „imaginați-vă dacă un producător de montagne russe ar permite parcurilor de distracții să decidă individual care sunt specificațiile minime de siguranță." În esență, autorul spune pur și simplu că flexibilitatea fără protecții poate crea riscuri ascunse.
Postarea a mers atât de departe încât a susținut că configurația a fost problema în cadrul designului. „Personal, cred că acesta este un design defectuos. Securitatea modulară este un spațiu de design care merită explorat, totuși, gama de securitate ar trebui să aibă un nivel minim de securitate nativ destul de puternic și apoi să permită stratificare *suplimentară* de securitate peste acesta pentru cazuri de utilizare de valoare mai mare."
'DeFi este mort'
Nu doar amploarea și complexitatea exploatării au atras criticile dure și pline de panică. Scala exploatării a intensificat îngrijorările.
Aproximativ 116.500 rsETH, aproximativ 18% din aprovizionare, au fost afectate. Atacatorul a păcălit stratul de mesagerie cross-chain al LayerZero să creadă că o instrucțiune validă a sosit de pe o altă rețea, ceea ce a declanșat bridge-ul Kelp să elibereze 116.500 rsETH către o adresă controlată de atacator.
Protocoalele au răspuns prin înghețarea piețelor și suspendarea funcțiilor. Aave a oprit activitatea rsETH. Lido a suspendat depozitele legate de activ. Alte proiecte au luat măsuri similare pentru a limita expunerea pe măsură ce situația evolua.
Dincolo de dezbaterea tehnică, sentimentul în lumea crypto s-a transformat brusc în negativ. O postare a surprins poate schimbarea de dispoziție în termeni brutali: „DeFi este mort... 'doar folosește aave' este mort", adăugând că „Epoca crypto s-a încheiat" și întrebând: „Dacă citești asta – de ce mai ești în crypto?"
Deși răspunsul poate suna ca o reacție exagerată, acel tip de reacție 'impulsivă' nu este neobișnuit după exploatări mari, dar amploarea acestui eveniment iese în evidență.
Atacul a afectat simultan infrastructura cross-chain, modelele de restaking și piețele de creditare. Acesta urmează, de asemenea, o serie de incidente recente. Hackul survine într-o perioadă neobișnuit de ostilă pentru DeFi, în special în această lună. Protocolul de perpetuals bazat pe Solana, Drift, a fost golit de aproximativ 285 milioane de dolari pe 1 aprilie într-un atac legat ulterior de actori afiliați Coreei de Nord, iar cel puțin o duzină de protocoale mai mici au fost exploatate în săptămânile de atunci, inclusiv CoW Swap, Zerion, Rhea Finance și Silo Finance.
'Verificați-vă configurațiile'
În ciuda tuturor explicațiilor, există încă mai multe întrebări decât răspunsuri.
Chiar și LayerZero încearcă încă să afle detaliile complete ale exploatării. „Suntem pe deplin conștienți de exploatarea rsETH și am fost în remediere activă cu echipa @KelpDAO de la incident și continuăm să monitorizăm. Toate celelalte aplicații rămân sigure", a spus într-o postare pe X. „Încă identificăm cauza principală alături de @_SEAL_Org și alții. Vom publica un post-mortem complet cu @KelpDAO de îndată ce vom avea toate informațiile."
KelpDAO a repetat acest sentiment. „Mai devreme astăzi am identificat activitate cross-chain suspectă implicând rsETH. Am suspendat contractele rsETH pe mainnet și pe mai multe L2-uri în timp ce investigăm. Lucrăm cu @LayerZero_Core, @unichain, auditorii noștri și experții de top în securitate pentru RCA. Vă vom ține la curent pe măsură ce aflăm mai multe despre această situație."
Totuși, unii dezvoltatori văd o lecție mai clară în haos.
Exploatarea nu s-a bazat pe spargerea criptării sau ocolirea contractelor inteligente. În schimb, a expus cât de fragile pot deveni sistemele atunci când depind de presupuneri stratificate.
În termeni simpli, instrumentele au funcționat conform design-ului. Modul în care au fost configurate nu a funcționat.
Această distincție poate modela ce urmează. Constructorii îndeamnă acum proiectele să-și revizuiască configurațiile, în special cele care se bazează pe mesagerie cross-chain.
Așa cum a spus cryptogoblin fără menajamente: „Verificați-vă configurațiile. Rămâneți în siguranță acolo."
Citiți mai mult: Randamentele DeFi se prăbușesc atât de mult încât nu pot concura cu un cont de economii tradițional
Sursă: https://www.coindesk.com/news-analysis/2026/04/19/defi-is-dead-crypto-community-scrambles-after-usd292-million-hack-exposes-cross-chain-risks
