En bølge af protokol-niveau sikkerhedsreaktioner fulgte efter det $292 millioner KelpDAO rsETH-udnyttelse den 19. april, hvor BitGo, Polygon og Katana reagerede hurtigt for at begrænse mulig smitte.
Angrebet tømte 116.500 rsETH fra Kelp DAO’s LayerZero-drevne globale bro via en forfalsket besked, der omgik opsætningen af dets Decentralized Verifier Network (DVN).
Protokoller forsøger at inddæmme konsekvenser
BitGo tog sammen med BiT Global Trust LayerZero OFT DVN’erne for Wrapped Bitcoin (WBTC) ned som en forholdsregel. Virksomheden har bekræftet, at brugernes midler er sikre og lover at dele opdateringer, når der er mere nyt.
Polygon skrev, at dets kæde, Agglayer, og det bredere økosystem fortsat er upåvirket af hændelsen. Netværket bemærkede, at det sikkert har behandlet over $2 billioner indtil nu.
Katana satte OFT-vejen på Vaultbridge på pause, som benyttede et 2/3 DVN-setup. Broen via Agglayer, som verificerer med zero-knowledge proofs fremfor proof-of-authority multisigs, er fortsat fuldt tilgængelig.
I mellemtiden afslørede Cyvers CTO og medstifter Meir Dolev, at KelpDAO var kun tre minutter fra at miste yderligere $100 millioner. En hurtig blacklist blokerede angriberen, før et nyt forsøg kunne gennemføres.
Branchefolk opfordrer til strukturelle rateloftsgrænser
Udnyttelsen har genstartet debatten om indbyggede rateloft i DeFi-protokoller. Ethena-bidragyder Guy Young mente, at udstedere af aktiver bør indføre begrænsninger på globale overførsler oven på de almindelige LayerZero OFT’er.
“Vi byggede en løsning oven på den almindelige OFT for at begrænse globale overførsler til $10 mio. pr. time for hver DVN, udover rateloftet på $10 mio. pr. blok på mint-kontrakten. Førstnævnte ville have forhindret Kelp, sidstnævnte Resolv,” skrev han.
Ethenas opsætning sætter et loft på $10 mio. pr. kæde pr. time, selv hvis en DVN er helt kompromitteret. Young mente, at den mindre ulempe for brugere er det værd for at undgå katastrofale tab.
Keone Hon, direktør og medstifter af Monad, foreslog, at udlånsprotokoller bør bruge “smarte grænser” for, hvor hurtigt sikkerhedsstillelse kan øges.
Han henviste til Resolv-hacket i marts, hvor angriberen minted uendeligt mange tokens, men kun kunne hive $24 millioner ud, fordi udgangsvejene var små.
Hon påpegede, at høje forsyningslofter bør betragtes som en risiko, ikke som et kvalitetsstempel. Et forsyningsloft en smule over aktuel udnyttelse, der løbende justeres, ville have sparet rsETH-indskydere for $200 millioner, vurderede han.
KelpDAO-bruddet er nu den største DeFi-udnyttelse i 2026. Om protokoller tager de foreslåede rateloft til sig, kan afgøre, hvor stort det næste hack bliver.
