Der 292-Millionen-Dollar-Exploit von Kelp DAO hat eine Welle von Reaktionen in der Krypto-Branche ausgelöst, wobei Entwickler und Händler davor warnen, dass der Vorfall tiefere Mängel in der Art und Weise offenbart hat, wie dezentralisierte Finanzen (DeFi) aufgebaut sind.
Von Marktteilnehmern geteilte Daten zeigen, dass sich die unmittelbaren Auswirkungen weit über das gehackte Protokoll hinaus ausbreiteten.
„Der rsETH-Hack führt zu Abhebungen bei allen Lending-Protokollen, sogar auf Solana und nicht betroffenen Protokollen“, sagte 0xngmi am Sonntag in einem Post und wies auf starke Abflüsse hin, darunter „Aave: -6.200 Mio. (-23 %) Nettozuflüsse“ sowie kleinere, aber bemerkenswerte Rückgänge bei Morpho, Sky und JupLend. rsETH ist das restaked Ether des Liquid-Restaking-Protokolls Kelp DAO und ein Liquid Restaking Token (LRT), der es Nutzern ermöglicht, Belohnungen für das Staking und Restaking von Ether zu verdienen, während ihre Vermögenswerte liquide bleiben, selbst wenn sie im Staking gesperrt sind.
Dieser Druck entwickelte sich schnell zu etwas Ernsterem. Ein weit verbreiteter Post von Josu San Martin beschrieb kaskadierende Liquiditätsengpässe innerhalb der Kreditmärkte: „ETH-Einleger können das ETH nicht abheben, also leihen sie sich Stables, um Gelder zu ‚entnehmen‘... Das ist ein regelrechter Bankrun auf AAVE.“
Während Stani Kulechov, der Gründer von Aave, erklärte, dass der Exploit extern war und die Verträge des Protokolls nicht kompromittiert wurden, gerieten die Einleger in Panik. Der Gesamtwert der gesperrten Einlagen (Total Value Locked, TVL) fiel laut DefiLlama von 26,4 Milliarden US-Dollar am 18. April auf fast 20 Milliarden US-Dollar in den US-Morgenstunden am Sonntag. Der AAVE-Token fiel ebenfalls um mehr als 18 %, als Einleger am Wochenende versuchten, ihr Geld abzuziehen.
Der Exploit selbst ist zu einem zentralen Thema für Ingenieure und Entwickler geworden.
Mehrere Entwickler widersprachen frühen Annahmen, dass das Problem in der Kerninfrastruktur liege. „Der KelpDAO-Exploit (~290 Mio. $) ist KEIN LayerZero-Protokollfehler. Es ist ein Konfigurationsproblem und eine Fallstudie, die sich jedes Projekt mit einem Cross-Chain-Token heute ansehen muss“, hieß es in einer technischen Analyse von cryptogoblin.
Der Thread detaillierte, wie ein einziger Verifizierungspunkt den Angriff ermöglichte. „Eine Signatur und 116.500 rsETH materialisierten sich aus dem Nichts auf Ethereum“, hieß es in dem Post, der ein System beschrieb, in dem „die [Smart] Contracts nicht fehlerhaft waren. Die Verifizierungsschicht war es“, so die Behauptung.
Andere argumentierten, dass das Problem tiefer liege als eine einzelne Einstellungsentscheidung.
Ein Kritiker namens Fishy Catfish auf X bezeichnete es als Designfehler und behauptete: „Es gibt keine Sicherheitsuntergrenze... Eine Konfiguration kann ein 1/1 DVN sein, und das gewählte DVN kann ein einzelner Knoten sein, der von einer einzigen Einheit betrieben wird.“ Ein DVN (Decentralized Verifier Network) im DeFi-Bereich, speziell innerhalb von LayerZero V2, ist eine unabhängige Einheit, die für die Validierung und Bestätigung der Authentizität von Nachrichten verantwortlich ist, die über verschiedene Blockchain-Netzwerke gesendet werden. Im Wesentlichen verifizieren DVNs Nachrichten-Hashes zwischen einer Quell-Chain und einer Ziel-Chain.
Um den Punkt zu verdeutlichen, zog der Autor einen Vergleich aus der realen Welt: „Stellen Sie sich vor, ein Achterbahnhersteller würde es Freizeitparks erlauben, individuell zu entscheiden, was die Mindestsicherheitsvorgaben sind.“ Im Grunde sagt der Autor damit lediglich, dass Flexibilität ohne Schutzplanken versteckte Risiken schaffen kann.
Der Post ging so weit zu behaupten, dass die Einrichtung das Problem innerhalb des Designs sei. „Ich persönlich halte dies für ein fehlerhaftes Design. Modulare Sicherheit ist ein lohnenswerter Designraum, jedoch sollte der Sicherheitsbereich eine native Sicherheitsuntergrenze haben, die recht stark ist, und dann eine zusätzliche Schichtung von Sicherheit darauf ermöglichen, für hochwertigere Anwendungsfälle.“
Es