Kelps 292-Millionen-Dollar-Exploit entfacht Debatte über DeFi-Risiken im Stil von 2008

Der 292-Millionen-Dollar-Exploit bei Kelp DAO hat neue Fragen über Risiken im Bereich Liquid Restaking und DeFi-Kreditmärkten aufgeworfen. 

Der Angriff soll die rsETH-Cross-Chain Brücke des Protokolls betroffen haben und umfasste 116.500 rsETH, was etwa 18 % des umlaufenden Angebots entspricht.

Der Vorfall blieb nicht auf Kelp DAO beschränkt. Bei Aave kam es zu massiven Auszahlungsanstürmen, während SparkLend und Fluid die rsETH-Märkte pausierten. Lido pausierte ebenfalls earnETH, das eine Risikoposition gegenüber rsETH hatte, obwohl sein Kernprodukt stETH nicht betroffen war.

Ein Beitrag eines auf DeFi fokussierten Kontos, bekannt als @whatexchange auf X, verglich das Ereignis mit der Finanzkrise von 2008. Das Konto schrieb: „Das Stapeln von Asset-Schichten beseitigt das Risiko nicht. Es komprimiert und verbirgt es."

Mehrschichtige Yield-Produkte geraten unter die Lupe

Der Beitrag argumentierte, dass rsETH vor dem Exploit mehrere Schichten durchlaufen hatte. Nutzer staketen zunächst ETH über Lido und erhielten stETH. Dieses stETH konnte dann in Kelp DAO und EigenLayer überführt werden, wo rsETH geminted wurde.

Der rsETH-Token wurde anschließend als Sicherheit auf Kreditplattformen wie Aave, SparkLend und Fluid verwendet. Er wurde auch über LayerZero auf andere Chains gebrückt, wodurch Wrapped Versionen entstanden, die vom selben zugrunde liegenden Vermögenswert abhingen.

Die Analyse verglich diese Struktur mit Hypothekenprodukten vor der Krise von 2008. Sie besagte, dass beide Systeme einen Basiswert durch mehrere Finanzschichten neu verpackten, wobei jede Schicht davon abhing, dass die vorherige wie erwartet funktionierte.

Marktreaktion zeigt versteckte Risikoexpositionen

Nach dem Kelp DAO Exploit ergriffen mehrere DeFi-Plattformen Maßnahmen zur Risikominderung. Aave fror die rsETH-Märkte für mehrere Stunden ein, während SparkLend und Fluid ähnliche Märkte pausierten. Ethena pausierte als Vorsichtsmaßnahme ebenfalls die LayerZero OFT-Bridges, obwohl keine direkte rsETH-Risikoposition bestand.

Laut dem Beitrag verließen in weniger als 36 Stunden über 6,2 Milliarden Dollar Aave. Das Konto sagte, das Hauptproblem sei nicht nur die Größe des Exploits, sondern die Schwierigkeit, indirekte Risikoexpositionen über Protokolle hinweg zu erfassen.

Der Beitrag stellte fest: „Kein Teilnehmer, einschließlich der Protokolle selbst, kann sein Expositionsnetzwerk vollständig abbilden." Er fügte hinzu, dass Nutzer, die ihre Risikoposition nicht in Echtzeit überprüfen können, oft mit dem Abzug von Geldern reagieren.

DeFi-Risikodebatte verlagert sich auf das Systemdesign

Der Beitrag konzentrierte sich auch auf die Bridge-Sicherheit. Er behauptete, Kelp habe ein 1-von-1-Verifier-Setup verwendet, was bedeutet, dass ein einzelner Node Cross-Chain-Nachrichten verifizierte, bevor Gelder bewegt wurden. Der Beitrag argumentierte, dass dieses Design einen Single Point of Failure in einem als dezentralisiert vermarkteten Produkt geschaffen habe.

Die Analyse hinterfragte auch das Yield Stacking. Sie besagte, dass jede Schicht neue Risiken hinzufügt, darunter Validator Slashing, Restaking-Risiken, Bridge-Fehler, Smart-Contract-Ausfälle und Kredit-Liquidationen.

Der Beitrag sagte, Nutzer sollten DeFi-Produkte nicht nur nach dem APY beurteilen. Er argumentierte, dass höhere Renditen oft versteckte Risiken über mehrere vernetzte Systeme widerspiegeln und keine einfachen passiven Einnahmen darstellen.

Der Kelp DAO Exploit ist nun Teil einer breiteren Debatte über DeFi-Sicherheit, Leverage und Transparenz. Der Vorfall zeigte, wie ein einzelner Ausfall Nutzer auf mehreren Plattformen betreffen kann, einschließlich Nutzer, die nicht direkt mit Kelp DAO interagiert hatten.