Засновник Cardano попереджає: злам KelpDAO виявив найслабшу ланку Ethereum

Засновник Cardano Чарльз Хоскінсон використав свій останній прямий ефір, щоб стверджувати, що злам KelpDAO на приблизно 292 мільйони доларів — це не просто черговий збій Кросчейн мосту, а ширше попередження про те, як рестейкінг Ethereum, кросчейн-повідомлення та стек кредитування можуть перетворити один компроміс на системне зараження.

За словами Хоскінсона, атака 18 квітня виявила те, що він вважає найвразливішою частиною сучасного DeFi (Децентралізованих фінансів): не обов'язково смартконтракти на рівні додатків, а шари верифікації та взаємозалежності між протоколами. Він зазначив, що злам, під час якого з ескроу KelpDAO на блокчейні Ethereum було виведено близько 116 500 rsETH, має спонукати галузь до ширшого обговорення припущень довіри до мостів, дизайну верифікаторів та швидкості, з якою неякісна застава може поширюватися на кредитних ринках.

Засновник Cardano попереджає про небезпечний недолік в основі Ethereum DeFi

Замість стандартного розбору помилок Хоскінсон сказав, що взяв внутрішні матеріали звітів про інциденти й використав ШІ, щоб перетворити їх на вебсайт, який провів глядачів через механіку зламу. Ця структура окреслила його головну думку: збій, за його словами, не почався зі зламаної математики контракту всередині самого KelpDAO і не з очевидної помилки в обліку на LayerZero. Натомість, за його словами, в центрі опинилося підроблене кросчейн-повідомлення, яке було прийняте як законне й дозволило вивести кошти на Ethereum.

«Отже, це не була проблема смартконтракту з Kelp і не проблема смартконтракту з LayerZero, але це була підробка кросчейн-повідомлення», — сказав Хоскінсон. «Отже, це було щось нове й інше».

Засновник Cardano неодноразово повертався до одного конкретного проєктного рішення: повідомленого використання конфігурації верифікатора «один з одного». За його поясненням, найкращою практикою була б модель з кількома верифікаторами, наприклад три з п'яти, але налаштування KelpDAO покладалося на єдиний активний DVN. Це, на його думку, створило неприйнятну єдину точку відмови в системі, яка вже має шари стейкінг-обгорток, протоколів рестейкінгу, мостів та кредитних майданчиків.

«Збій був у логіці верифікації, а не в логіці додатку», — сказав він. «Kelp зробив усе правильно зі своїми контрактами. Вони пройшли аудит. Вони працюють добре. Додаток працює добре. Проблема в конфігурації мосту». Хоскінсон також підкреслив, що галузь досі не має чіткої відповіді щодо того, де саме лежить відповідальність.

За його підсумком, після зламу з'явилися три окремі аналізи першопричини: один від LayerZero, один від KelpDAO і один, пов'язаний з обговореннями LlamaRisk та управлінням Aave, але жоден з них повністю не збігається. Це залишає відкритим питання, де саме стався збій — на рівні повідомлень, налаштуванні верифікатора, логіці прийому KelpDAO чи на стиках між ними.

Те, що зробило подію особливо значущою на його думку, — це не лише сам факт крадіжки, а те, що сталося далі. Замість того щоб скинути викрадені rsETH на децентралізованих біржах, зловмисник нібито використав їх як заставу на кредитних ринках, щоб позичити більш ліквідні активи. Це перетворило злам на проблему балансу для інших протоколів, залишивши позаду те, що Хоскінсон назвав отруєною заставою.

Він назвав цю динаміку справжньою новизною інциденту. «Це був не просто злам мосту. Він поширився на кредитування, що створило зараження поганими боргами всередині цих кредитних протоколів. Це спричинило банківську паніку, і ми побачили, як 13 мільярдів доларів TVL було виведено за дуже короткий час через злам на 290 мільйонів доларів».

Засновник Cardano сказав, що ширший шок ліквідності DeFi (Децентралізованих фінансів) вийшов далеко за межі самого KelpDAO. Посилаючись на публічні звіти, згадані в його огляді, він вказав щонайменше на дев'ять безпосередньо постраждалих протоколів і зазначив, що лише Aave зазнав збитків від 6,6 до 8,45 мільярда доларів, тоді як rsETH торгувався у волатильному діапазоні від приблизно 1 600 до 2 500 доларів протягом 24 годин після атаки.

Він також припустив можливу причетність Lazarus, хоча визнав, що атрибуція залишається непідтвердженою. «Тут є багато доказів зв'язків з Lazarus», — сказав він, додавши, що жодна незалежна криміналістична компанія не довела це остаточно.

На момент публікації Cardano (ADA) торгувався на рівні $0,2504.