Default
Door Remote - 19 Apr 2026
De $292 miljoen kostende exploit van Kelp DAO heeft een golf van reacties veroorzaakt in de crypto-industrie, waarbij ontwikkelaars en handelaars waarschuwden dat het incident diepere tekortkomingen aan het licht bracht in de manier waarop gedecentraliseerde financiering (DeFi) is opgebouwd.
Gegevens die door marktdeelnemers worden gedeeld, laten zien dat de onmiddellijke gevolgen zich tot ver buiten het gehackte protocol verspreiden.
“De rsETH-hack leidt tot opnames in alle kredietprotocollen, zelfs op solana en niet-getroffen protocollen”, zei 0xngmi zondag in een post, wijzend op steile uitstromen, waaronder “Aave: -6.200 miljoen (-23%) netto instroom” en kleinere maar opmerkelijke dalingen bij Morpho, Sky en JupLend. rsETH is het herbezette ether van Kelp DAO en is een Liquid Restaking Token (LRT) waarmee gebruikers ether-staking en heropname-beloningen kunnen verdienen terwijl hun activa liquide blijven, zelfs als ze vastzitten in het staken.
Die druk veranderde al snel in iets ernstigers. In een wijd verspreide post van Josu San Martin wordt de trapsgewijze liquiditeitsstress op de kredietmarkten beschreven: “ETH-depositohouders kunnen de ETH niet opnemen, dus lenen ze stallen om geld op te nemen… Dit is een volledige run op AAVE.”
Terwijl Stani Kulechov, de oprichter van Aave, zei dat de exploit extern was en dat de contracten van het protocol niet in gevaar waren gebracht, raakten de spaarders in paniek. De totale geblokkeerde waarde (of deposito's) daalde van 26,4 miljard dollar op 18 april tot bijna 20 miljard dollar in de Amerikaanse ochtenduren op zondag, aldus DefiLlama. Het AAVE-token daalde ook met meer dan 18% toen spaarders zich dit weekend haastten om hun geld op te nemen.
Aave-tokenprijs (CoinDesk)Een 'case study'De exploit zelf is een aandachtspunt geworden voor ingenieurs en ontwikkelaars.
Verschillende ontwikkelaars kwamen terug op de vroege veronderstelling dat het probleem voortkwam uit de kerninfrastructuur. “De KelpDAO-exploit (~$290 miljoen) is GEEN LayerZero-protocolbug. Het is een configuratieprobleem en een case study waar elk project met een cross-chain-token vandaag de dag naar moet kijken”, aldus een technische analyse van cryptogoblin.
In de thread werd gedetailleerd beschreven hoe een enkel verificatiepunt de aanval mogelijk maakte. "Eén handtekening en 116.500 rsETH kwamen uit het niets op Ethereum terecht", aldus de post, die een systeem beschreef waarbij "de [slimme] contracten niet werden verbroken. De verificatielaag wel", beweerde de post.
Anderen voerden aan dat het probleem dieper gaat dan een enkele opstellingskeuze.
Eén kritiek, die Fishy Catfish op X heet, omschreef het als een ontwerpfout en beweerde dat: “er geen beveiligingsvloer is… Een configuratie kan een 1/1 DVN zijn en de DVN die je kiest kan een enkel knooppunt zijn dat wordt beheerd door een enkele entiteit.” Een DVN (Decentralized Verifier Network) in DeFi, specifiek binnen LayerZero V2, is een onafhankelijke entiteit die verantwoordelijk is voor het valideren en bevestigen van de authenticiteit van berichten die via verschillende blockchain-netwerken worden verzonden. In wezen verifiëren DVN's berichthashes tussen een bronketen en een bestemmingsketen.
Om het punt duidelijker te maken, maakte de auteur een vergelijking uit de praktijk: “Stel je voor dat een achtbaanfabrikant pretparken individueel zou laten beslissen wat de minimale veiligheidsspecificaties waren.” In wezen zegt de auteur eenvoudigweg dat flexibiliteit zonder vangrails verborgen risico's met zich mee kan brengen.
Het bericht ging zelfs zo ver dat het beweerde dat de opstelling het probleem binnen het ontwerp was. "Persoonlijk denk ik dat dit een gebrekkig ontwerp is. Modulaire beveiliging is een waardevolle ontwerpruimte, maar het beveiligingsaanbod moet een eigen beveiligingslaag hebben die behoorlijk sterk is, en daarbovenop *extra* beveiligingslagen mogelijk maken voor meer hoogwaardige gebruiksscenario's."
'DeFi is dood'Het zijn niet alleen de omvang en complexiteit van de exploit die voor de harde, paniekerige kritiek zorgden. De omvang van de exploit heeft de zorgen doen toenemen.
Ongeveer 116.500 rsETH, ongeveer 18% van het aanbod, werd getroffen. De aanvaller liet de cross-chain berichtenlaag van LayerZero geloven dat er een geldige instructie was binnengekomen van een ander netwerk, wat ertoe leidde dat Kelp's bridge 116.500 rsETH vrijgaf naar een door de aanvaller gecontroleerd adres.
Protocollen reageerden door markten te bevriezen en functies te pauzeren. Aave stopte de rETH-activiteit. Lido heeft de stortingen die aan het actief waren gekoppeld, stopgezet. Andere projecten ondernamen soortgelijke stappen om de blootstelling te beperken naarmate de situatie zich ontwikkelde.
Naast het technische debat werd het sentiment over crypto scherp negatief. Eén bericht vatte de stemmingswisseling misschien in botte bewoordingen samen: “DeFi is dood… ‘gebruik gewoon aave’ is dood”, terwijl hij eraan toevoegde dat “Het tijdperk van crypto voorbij is” en vroeg: “Als je dit leest, waarom zit je dan nog steeds in crypto?”
Hoewel de reactie misschien overdreven klinkt, is dit soort reflexmatige reactie niet ongebruikelijk na grote exploits, maar de reikwijdte van deze gebeurtenis valt op.
De aanval had gevolgen voor de ketenoverschrijdende infrastructuur, waardoor modellen en kredietmarkten tegelijkertijd werden hervormd. Het volgt ook een reeks recente incidenten. De hack komt in een ongewoon vijandig traject terecht voor DeFi, vooral deze maand. Op Solana gebaseerd perpetuals-protocol Drift verloor op 1 april ongeveer 285 miljoen dollar in een aanval die later in verband werd gebracht met aan Noord-Korea gelieerde actoren, en in de weken daarna zijn minstens een dozijn kleinere protocollen uitgebuit, waaronder CoW Swap, Zerion, Rhea Finance en Silo Finance.
'Controleer je configuraties'Ondanks alle uitleg zijn er nog steeds meer vragen dan antwoorden. Hoe is dit bijvoorbeeld gebeurd en hoe diep zit deze besmetting?
Het lijkt erop dat alle anderen, zelfs LayerZero, nog steeds proberen de volledige details van de exploit te achterhalen.
"We zijn ons volledig bewust van de rsETH-exploit en zijn sinds het incident actief bezig met herstel met het @KelpDAO-team en blijven het monitoren. Alle andere applicaties blijven veilig", zei LayerZero in een bericht op X. "We zijn nog steeds bezig met het identificeren van de hoofdoorzaak samen met @_SEAL_Org en anderen. We zullen een volledig post-mortem met @KelpDAO publiceren zodra we alle informatie hebben."
KelpDAO herhaalde dit sentiment. "Eerder vandaag hebben we verdachte cross-chain-activiteiten waarbij rsETH betrokken is, geïdentificeerd. We hebben rsETH-contracten op het mainnet en verschillende L2's gepauzeerd terwijl we onderzoek doen. We werken samen met @LayerZero_Core, @unichain, onze auditors en topbeveiligingsexperts op RCA. We houden u op de hoogte als we meer over deze situatie te weten komen."
De reacties laten alleen maar zien hoe complex de situatie is en hoe wijdverbreid dit kan zijn.
Zelfs Justin Sun kwam tussenbeide om de besmetting te stoppen. "Oké - Kelpdao-hacker, hoeveel wil je? Laten we gewoon praten. Met de hulp van KelpDAO natuurlijk. Het is simpelweg niet de moeite waard om zowel Aave als KelpDAO op te offeren en ze over deze hack heen te laten gaan. Je kunt sowieso geen $ 300 miljoen uitgeven", zei hij in een bericht op X.
Toch zien sommige ontwikkelaars een duidelijkere les in de chaos.
De exploit was niet gebaseerd op het verbreken van de encryptie of het omzeilen van slimme contracten. In plaats daarvan werd blootgelegd hoe kwetsbaar systemen kunnen worden als ze afhankelijk zijn van gelaagde aannames.
In eenvoudige bewoordingen werkten de tools zoals ontworpen. De manier waarop ze waren geconfigureerd, deed dat niet.
Dat onderscheid kan bepalend zijn voor wat daarna komt. Bouwers dringen er nu bij projecten op aan om hun instellingen te herzien, vooral die welke afhankelijk zijn van cross-chain messaging.
Zoals cryptogoblin het botweg verwoordde: "Controleer uw configuraties. Blijf daar veilig."
Lees meer: DeFi-rendementen dalen zo hard dat ze niet kunnen concurreren met een traditionele spaarrekening
Gegevens die door marktdeelnemers worden gedeeld, laten zien dat de onmiddellijke gevolgen zich tot ver buiten het gehackte protocol verspreiden.
“De rsETH-hack leidt tot opnames in alle kredietprotocollen, zelfs op solana en niet-getroffen protocollen”, zei 0xngmi zondag in een post, wijzend op steile uitstromen, waaronder “Aave: -6.200 miljoen (-23%) netto instroom” en kleinere maar opmerkelijke dalingen bij Morpho, Sky en JupLend. rsETH is het herbezette ether van Kelp DAO en is een Liquid Restaking Token (LRT) waarmee gebruikers ether-staking en heropname-beloningen kunnen verdienen terwijl hun activa liquide blijven, zelfs als ze vastzitten in het staken.
Die druk veranderde al snel in iets ernstigers. In een wijd verspreide post van Josu San Martin wordt de trapsgewijze liquiditeitsstress op de kredietmarkten beschreven: “ETH-depositohouders kunnen de ETH niet opnemen, dus lenen ze stallen om geld op te nemen… Dit is een volledige run op AAVE.”
Terwijl Stani Kulechov, de oprichter van Aave, zei dat de exploit extern was en dat de contracten van het protocol niet in gevaar waren gebracht, raakten de spaarders in paniek. De totale geblokkeerde waarde (of deposito's) daalde van 26,4 miljard dollar op 18 april tot bijna 20 miljard dollar in de Amerikaanse ochtenduren op zondag, aldus DefiLlama. Het AAVE-token daalde ook met meer dan 18% toen spaarders zich dit weekend haastten om hun geld op te nemen.
Aave-tokenprijs (CoinDesk)Een 'case study'De exploit zelf is een aandachtspunt geworden voor ingenieurs en ontwikkelaars.
Verschillende ontwikkelaars kwamen terug op de vroege veronderstelling dat het probleem voortkwam uit de kerninfrastructuur. “De KelpDAO-exploit (~$290 miljoen) is GEEN LayerZero-protocolbug. Het is een configuratieprobleem en een case study waar elk project met een cross-chain-token vandaag de dag naar moet kijken”, aldus een technische analyse van cryptogoblin.
In de thread werd gedetailleerd beschreven hoe een enkel verificatiepunt de aanval mogelijk maakte. "Eén handtekening en 116.500 rsETH kwamen uit het niets op Ethereum terecht", aldus de post, die een systeem beschreef waarbij "de [slimme] contracten niet werden verbroken. De verificatielaag wel", beweerde de post.
Anderen voerden aan dat het probleem dieper gaat dan een enkele opstellingskeuze.
Eén kritiek, die Fishy Catfish op X heet, omschreef het als een ontwerpfout en beweerde dat: “er geen beveiligingsvloer is… Een configuratie kan een 1/1 DVN zijn en de DVN die je kiest kan een enkel knooppunt zijn dat wordt beheerd door een enkele entiteit.” Een DVN (Decentralized Verifier Network) in DeFi, specifiek binnen LayerZero V2, is een onafhankelijke entiteit die verantwoordelijk is voor het valideren en bevestigen van de authenticiteit van berichten die via verschillende blockchain-netwerken worden verzonden. In wezen verifiëren DVN's berichthashes tussen een bronketen en een bestemmingsketen.
Om het punt duidelijker te maken, maakte de auteur een vergelijking uit de praktijk: “Stel je voor dat een achtbaanfabrikant pretparken individueel zou laten beslissen wat de minimale veiligheidsspecificaties waren.” In wezen zegt de auteur eenvoudigweg dat flexibiliteit zonder vangrails verborgen risico's met zich mee kan brengen.
Het bericht ging zelfs zo ver dat het beweerde dat de opstelling het probleem binnen het ontwerp was. "Persoonlijk denk ik dat dit een gebrekkig ontwerp is. Modulaire beveiliging is een waardevolle ontwerpruimte, maar het beveiligingsaanbod moet een eigen beveiligingslaag hebben die behoorlijk sterk is, en daarbovenop *extra* beveiligingslagen mogelijk maken voor meer hoogwaardige gebruiksscenario's."
'DeFi is dood'Het zijn niet alleen de omvang en complexiteit van de exploit die voor de harde, paniekerige kritiek zorgden. De omvang van de exploit heeft de zorgen doen toenemen.
Ongeveer 116.500 rsETH, ongeveer 18% van het aanbod, werd getroffen. De aanvaller liet de cross-chain berichtenlaag van LayerZero geloven dat er een geldige instructie was binnengekomen van een ander netwerk, wat ertoe leidde dat Kelp's bridge 116.500 rsETH vrijgaf naar een door de aanvaller gecontroleerd adres.
Protocollen reageerden door markten te bevriezen en functies te pauzeren. Aave stopte de rETH-activiteit. Lido heeft de stortingen die aan het actief waren gekoppeld, stopgezet. Andere projecten ondernamen soortgelijke stappen om de blootstelling te beperken naarmate de situatie zich ontwikkelde.
Naast het technische debat werd het sentiment over crypto scherp negatief. Eén bericht vatte de stemmingswisseling misschien in botte bewoordingen samen: “DeFi is dood… ‘gebruik gewoon aave’ is dood”, terwijl hij eraan toevoegde dat “Het tijdperk van crypto voorbij is” en vroeg: “Als je dit leest, waarom zit je dan nog steeds in crypto?”
Hoewel de reactie misschien overdreven klinkt, is dit soort reflexmatige reactie niet ongebruikelijk na grote exploits, maar de reikwijdte van deze gebeurtenis valt op.
De aanval had gevolgen voor de ketenoverschrijdende infrastructuur, waardoor modellen en kredietmarkten tegelijkertijd werden hervormd. Het volgt ook een reeks recente incidenten. De hack komt in een ongewoon vijandig traject terecht voor DeFi, vooral deze maand. Op Solana gebaseerd perpetuals-protocol Drift verloor op 1 april ongeveer 285 miljoen dollar in een aanval die later in verband werd gebracht met aan Noord-Korea gelieerde actoren, en in de weken daarna zijn minstens een dozijn kleinere protocollen uitgebuit, waaronder CoW Swap, Zerion, Rhea Finance en Silo Finance.
'Controleer je configuraties'Ondanks alle uitleg zijn er nog steeds meer vragen dan antwoorden. Hoe is dit bijvoorbeeld gebeurd en hoe diep zit deze besmetting?
Het lijkt erop dat alle anderen, zelfs LayerZero, nog steeds proberen de volledige details van de exploit te achterhalen.
"We zijn ons volledig bewust van de rsETH-exploit en zijn sinds het incident actief bezig met herstel met het @KelpDAO-team en blijven het monitoren. Alle andere applicaties blijven veilig", zei LayerZero in een bericht op X. "We zijn nog steeds bezig met het identificeren van de hoofdoorzaak samen met @_SEAL_Org en anderen. We zullen een volledig post-mortem met @KelpDAO publiceren zodra we alle informatie hebben."
KelpDAO herhaalde dit sentiment. "Eerder vandaag hebben we verdachte cross-chain-activiteiten waarbij rsETH betrokken is, geïdentificeerd. We hebben rsETH-contracten op het mainnet en verschillende L2's gepauzeerd terwijl we onderzoek doen. We werken samen met @LayerZero_Core, @unichain, onze auditors en topbeveiligingsexperts op RCA. We houden u op de hoogte als we meer over deze situatie te weten komen."
De reacties laten alleen maar zien hoe complex de situatie is en hoe wijdverbreid dit kan zijn.
Zelfs Justin Sun kwam tussenbeide om de besmetting te stoppen. "Oké - Kelpdao-hacker, hoeveel wil je? Laten we gewoon praten. Met de hulp van KelpDAO natuurlijk. Het is simpelweg niet de moeite waard om zowel Aave als KelpDAO op te offeren en ze over deze hack heen te laten gaan. Je kunt sowieso geen $ 300 miljoen uitgeven", zei hij in een bericht op X.
Toch zien sommige ontwikkelaars een duidelijkere les in de chaos.
De exploit was niet gebaseerd op het verbreken van de encryptie of het omzeilen van slimme contracten. In plaats daarvan werd blootgelegd hoe kwetsbaar systemen kunnen worden als ze afhankelijk zijn van gelaagde aannames.
In eenvoudige bewoordingen werkten de tools zoals ontworpen. De manier waarop ze waren geconfigureerd, deed dat niet.
Dat onderscheid kan bepalend zijn voor wat daarna komt. Bouwers dringen er nu bij projecten op aan om hun instellingen te herzien, vooral die welke afhankelijk zijn van cross-chain messaging.
Zoals cryptogoblin het botweg verwoordde: "Controleer uw configuraties. Blijf daar veilig."
Lees meer: DeFi-rendementen dalen zo hard dat ze niet kunnen concurreren met een traditionele spaarrekening