Експлойт Kelp на $292M розпалює дебати про ризики DeFi у стилі 2008 року

Експлойт Kelp DAO на $292 мільйони поставив нові запитання щодо ризиків на ринках ліквідного рестейкінгу та кредитування DeFi (Децентралізовані фінанси). 

За повідомленнями, атака зачепила кросчейн міст rsETH протоколу та охопила 116 500 rsETH, що становить близько 18% від обсягу в обігу.

Інцидент не обмежився лише Kelp DAO. Aave зафіксував масове зняття коштів, тоді як SparkLend і Fluid призупинили ринки rsETH. Lido також призупинив earnETH, який мав зв'язок із rsETH, хоча основний продукт stETH не постраждав.

Публікація акаунту, орієнтованого на DeFi (Децентралізовані фінанси), відомого як @whatexchange в X, порівняла цю подію з фінансовою кризою 2008 року. Акаунт написав: «Накопичення шарів активів не усуває ризик. Воно стискає та приховує його».

Багаторівневі продукти прибутковості під пильною увагою

У публікації стверджувалося, що rsETH пройшов через кілька рівнів до експлойту. Спочатку користувачі здійснили стейкінг ETH через Lido і отримали stETH. Потім цей stETH міг перейти до Kelp DAO та EigenLayer, де карбувався rsETH.

Токен rsETH потім використовувався як застава на кредитних платформах, таких як Aave, SparkLend і Fluid. Його також перемістили через кросчейн міст LayerZero до інших ланцюгів, створюючи загорнуті версії, які залежали від одного й того самого базового активу.

Аналіз порівняв цю структуру з іпотечними продуктами до кризи 2008 року. У ньому зазначалося, що обидві системи перепакували один базовий актив через кілька фінансових рівнів, де кожен рівень залежав від правильної роботи попереднього.

Ринкова реакція виявляє приховані ризики

Після експлойту Kelp DAO кілька платформ DeFi (Децентралізовані фінанси) вжили заходів для зниження ризику. Aave заморозив ринки rsETH на кілька годин, тоді як SparkLend і Fluid призупинили аналогічні ринки. Ethena також призупинила мости LayerZero OFT як запобіжний захід, незважаючи на відсутність прямого зв'язку з rsETH.

Згідно з публікацією, понад $6,2 мільярда покинули Aave менш ніж за 36 годин. Акаунт зазначив, що головною проблемою був не лише розмір експлойту, а складність відстеження непрямих ризиків між протоколами.

У публікації зазначалося: «Жоден учасник, включно із самими протоколами, не може повністю відобразити свою мережу ризиків». Також додавалося, що коли користувачі не можуть перевірити ризики в режимі реального часу, вони часто реагують, знімаючи кошти.

Дискусія про ризики DeFi (Децентралізовані фінанси) зміщується до системного дизайну

Публікація також зосередилася на безпеці кросчейн мосту. У ній стверджувалося, що Kelp використовував схему верифікатора 1-of-1, тобто один вузол перевіряв кросчейн повідомлення перед переміщенням коштів. Автор публікації стверджував, що цей дизайн створив єдину точку відмови всередині продукту, що позиціонувався як децентралізований.

Аналіз також поставив під сумнів накопичення прибутковості. У ньому зазначалося, що кожен рівень додає нові ризики, включно зі скороченням винагороди валідаторів, ризиками рестейкінгу, помилками кросчейн мосту, збоями контрактів та ліквідаціями в кредитуванні.

У публікації зазначалося, що користувачі не повинні оцінювати продукти DeFi (Децентралізовані фінанси) лише за APY. Стверджувалося, що вища прибутковість часто відображає прихований ризик у кількох пов'язаних системах, а не простий пасивний дохід.

Експлойт Kelp DAO тепер став частиною ширшої дискусії про безпеку, кредитне плече та прозорість у DeFi (Децентралізовані фінанси). Інцидент показав, як одна невдача може вплинути на користувачів на кількох платформах, включно з тими, хто безпосередньо не взаємодіяв із Kelp DAO.