Exploit Kelp DAO o wartości 292 milionów dolarów wywołał falę reakcji w branży kryptowalut, a deweloperzy i traderzy ostrzegają, że incydent ujawnił głębsze wady w sposobie budowania zdecentralizowanych finansów (DeFi).
Dane udostępnione przez uczestników rynku pokazują, że natychmiastowe skutki rozprzestrzeniły się daleko poza zhakowany protokół.
"Hack rsETH prowadzi do wypłat we wszystkich protokołach pożyczkowych, nawet na solana i niezagrożonych protokołach," powiedział 0xngmi w poście w niedzielę, wskazując na gwałtowne odpływy, w tym "Aave: -6,200m (-23%) wpływy netto" oraz mniejsze, ale zauważalne spadki w Morpho, Sky i JupLend. rsETH to restakowany ether protokołu liquid restaking Kelp DAO i jest Liquid Restaking Token (LRT), który pozwala użytkownikom zarabiać nagrody ze stakingu i restakingu etheru, jednocześnie utrzymując płynność swoich aktywów, nawet gdy są zablokowane w stakingu.
Ta presja szybko przekształciła się w coś poważniejszego. Jeden szeroko rozpowszechniony post Josu San Martina opisywał kaskadowy stres płynności na rynkach pożyczkowych: "Deponenci ETH nie mogą wypłacić ETH, więc pożyczają stablecoiny, aby 'wypłacić' środki... To jest pełny run na AAVE."
Podczas gdy Stani Kulechov, założyciel Aave, powiedział, że exploit był zewnętrzny i że kontrakty protokołu nie zostały naruszone, deponenci wpadli w panikę. Całkowita wartość zablokowana (czyli depozyty) spadła z 26,4 miliarda dolarów 18 kwietnia do prawie 20 miliardów dolarów w niedzielę rano czasu amerykańskiego, według DefiLlama. Token AAVE również spadł o ponad 18%, gdy deponenci pospiesznie wypłacali swoje pieniądze przez weekend.
Cena tokena Aave (CoinDesk)„Studium przypadku"
Sam exploit stał się punktem centralnym dla inżynierów i deweloperów.
Kilku deweloperów odrzuciło wczesne założenia, że problem wynikał z podstawowej infrastruktury. "Exploit KelpDAO (~290 mln USD) NIE JEST błędem protokołu LayerZero. To problem konfiguracji i studium przypadku, na które każdy projekt z tokenem cross-chain powinien dziś spojrzeć," brzmiał jeden z technicznych analiz autorstwa cryptogoblin.
Wątek szczegółowo opisywał, jak pojedynczy punkt weryfikacji umożliwił atak. "Jeden podpis i 116 500 rsETH zmaterializowało się znikąd na Ethereum," głosił post, opisując system, w którym "[inteligentne] kontrakty nie zostały złamane. Warstwa weryfikacji została," twierdził post.
Inni argumentowali, że problem sięga głębiej niż pojedynczy wybór konfiguracji.
Jedna krytyka, której autor posługuje się pseudonimem Fishy Catfish na X, określiła to jako wadę projektową, twierdząc, że: "nie ma podstawowego poziomu bezpieczeństwa... Konfiguracja może być 1/1 DVN, a wybrany DVN może być pojedynczym węzłem prowadzonym przez jedną jednostkę." DVN (Decentralized Verifier Network) w DeFi, szczególnie w LayerZero V2, to niezależna jednostka odpowiedzialna za walidację i poświadczanie autentyczności wiadomości wysyłanych między różnymi sieciami blockchain. Zasadniczo DVN weryfikują hasze wiadomości między łańcuchem źródłowym a łańcuchem docelowym.
Aby wyjaśnić to bardziej, autor przeprowadził porównanie do rzeczywistości: "wyobraź sobie, gdyby producent kolejek górskich pozwalał parkom rozrywki indywidualnie decydować o minimalnych specyfikacjach bezpieczeństwa." Zasadniczo autor po prostu mówi, że elastyczność bez zabezpieczeń może stwarzać ukryte ryzyka.
Post posunął się nawet do twierdzenia, że problem leżał w projekcie. "Osobiście uważam, że to wadliwy projekt. Modułowe bezpieczeństwo to wartościowa przestrzeń projektowa, jednak zakres bezpieczeństwa powinien mieć natywny podstawowy poziom bezpieczeństwa, który jest dość silny, a następnie pozwalać na *dodatkowe* warstwy bezpieczeństwa na tym dla bardziej wartościowych przypadków użycia."
„DeFi jest martwy"
To nie tylko kwota i złożoność exploitu wywołały ostrą, paniczną krytykę. Skala exploitu zwiększyła obawy.
Około 116 500 rsETH, około 18% podaży, zostało dotkniętych. Atakujący oszukał warstwę komunikacji cross-chain LayerZero, sprawiając, że uwierzyła, iż prawidłowa instrukcja przybyła z innej sieci, co wywołało uwolnienie przez bridge Kelp 116 500 rsETH na adres kontrolowany przez atakującego.
Protokoły zareagowały zamrożeniem rynków i wstrzymaniem funkcji. Aave wstrzymało aktywność rsETH. Lido wstrzymało depozyty powiązane z aktywem. Inne projekty podjęły podobne kroki, aby ograniczyć ekspozycję w miarę rozwoju sytuacji.
Poza debatą techniczną, nastroje w świecie krypto gwałtownie się pogorszyły. Jeden post być może uchwycił zmianę nastroju w dosadnych słowach: "DeFi jest martwy... 'po prostu używaj aave' jest martwe," dodając, że "Era krypto się skończyła" i pytając: "Jeśli to czytasz – dlaczego nadal jesteś w krypto?"
Chociaż reakcja może brzmieć jak przesada, taki rodzaj 'odruchowej' reakcji nie jest rzadkością po dużych exploitach, ale zakres tego wydarzenia wyróżnia się.
Atak dotknął jednocześnie infrastrukturę cross-chain, modele restakingu i rynki pożyczkowe. Następuje również po serii ostatnich incydentów. Hack przypada na niezwykle wrogi okres dla DeFi, szczególnie w tym miesiącu. Protokół perpetuals oparty na Solana, Drift, został opróżniony z około 285 milionów dolarów 1 kwietnia w ataku później powiązanym z aktorami powiązanymi z Koreą Północną, a co najmniej tuzin mniejszych protokołów został wykorzystanych w ostatnich tygodniach, w tym CoW Swap, Zerion, Rhea Finance i Silo Finance.
„Sprawdź swoje konfiguracje"
Pomimo wszystkich wyjaśnień, nadal jest więcej pytań niż odpowiedzi.
Nawet LayerZero wciąż próbuje ustalić pełne szczegóły exploitu. "Jesteśmy w pełni świadomi exploitu rsETH i prowadzimy aktywne działania naprawcze z zespołem @KelpDAO od momentu incydentu i nadal monitorujemy. Wszystkie inne aplikacje pozostają bezpieczne," napisano w poście na X. "Wciąż identyfikujemy pierwotną przyczynę wraz z @_SEAL_Org i innymi. Opublikujemy kompletną analizę pośmiertną z @KelpDAO, gdy tylko będziemy mieli wszystkie informacje."
KelpDAO powtórzył to stanowisko. "Wcześniej dzisiaj zidentyfikowaliśmy podejrzaną aktywność cross-chain dotyczącą rsETH. Wstrzymaliśmy kontrakty rsETH na mainnecie i kilku L2, podczas gdy prowadzimy dochodzenie. Pracujemy z @LayerZero_Core, @unichain, naszymi audytorami i czołowymi ekspertami ds. bezpieczeństwa nad RCA. Będziemy Was informować, gdy dowiemy się więcej o tej sytuacji."
Mimo to niektórzy deweloperzy widzą wyraźniejszą lekcję w chaosie.
Exploit nie polegał na złamaniu szyfrowania ani ominięciu inteligentnych kontraktów. Zamiast tego ujawnił, jak kruche mogą stać się systemy, gdy polegają na warstwowych założeniach.
Mówiąc prościej, narzędzia działały zgodnie z projektem. Sposób ich konfiguracji nie.
To rozróżnienie może kształtować to, co będzie dalej. Twórcy teraz wzywają projekty do przeglądu swoich konfiguracji, szczególnie te polegające na komunikacji cross-chain.
Jak dosadnie ujął to cryptogoblin: "Sprawdźcie swoje konfiguracje. Bądźcie bezpieczni."
Przeczytaj więcej: Zyski DeFi spadają tak mocno, że nie mogą konkurować z tradycyjnym kontem oszczędnościowym
Źródło: https://www.coindesk.com/news-analysis/2026/04/19/defi-is-dead-crypto-community-scrambles-after-usd292-million-hack-exposes-cross-chain-risks
