El exploit de $292M de Kelp desata un debate sobre riesgos DeFi al estilo 2008

El exploit de 292 millones de dólares de Kelp DAO ha planteado nuevas preguntas sobre el riesgo en los mercados de liquid restaking y préstamos DeFi. 

El ataque supuestamente afectó al puente entre cadenas rsETH del protocolo e involucró 116.500 rsETH, equivalente a aproximadamente el 18% del suministro circulante.

El incidente no se limitó a Kelp DAO. Aave registró retiros masivos, mientras que SparkLend y Fluid pausaron los mercados de rsETH. Lido también pausó earnETH, que tenía exposición a rsETH, aunque su producto principal stETH no se vio afectado.

Una publicación de una cuenta enfocada en DeFi, conocida como @whatexchange en X, comparó el evento con la crisis financiera de 2008. La cuenta escribió: "Apilar capas de activos no elimina el riesgo. Lo comprime y lo oculta."

Los productos de rendimiento por capas enfrentan escrutinio

La publicación argumentó que rsETH pasó por varias capas antes del exploit. Los usuarios primero hicieron staking de ETH a través de Lido y recibieron stETH. Ese stETH podía luego moverse hacia Kelp DAO y EigenLayer, donde se acuñaba rsETH.

El token rsETH fue utilizado luego como garantía en plataformas de préstamos como Aave, SparkLend y Fluid. También fue enviado a través del puente entre cadenas LayerZero hacia otras cadenas, creando versiones envueltas que dependían del mismo activo subyacente.

El análisis comparó esta estructura con los productos hipotecarios previos a la crisis de 2008. Señaló que ambos sistemas reempaquetaban un activo base a través de varias capas financieras, mientras cada capa dependía de que la anterior funcionara según lo esperado.

La respuesta del mercado revela exposición oculta

Tras el exploit de Kelp DAO, varias plataformas DeFi tomaron medidas para reducir el riesgo. Aave congeló los mercados de rsETH durante varias horas, mientras que SparkLend y Fluid pausaron mercados similares. Ethena también pausó los puentes LayerZero OFT como precaución, a pesar de no tener exposición directa a rsETH.

Según la publicación, más de 6.200 millones de dólares salieron de Aave en menos de 36 horas. La cuenta señaló que el principal problema no era solo el tamaño del exploit, sino la dificultad de mapear la exposición indirecta entre protocolos.

La publicación afirmó: "Ningún participante, incluidos los propios protocolos, puede mapear completamente su red de exposición." Añadió que cuando los usuarios no pueden verificar la exposición en tiempo real, suelen reaccionar retirando fondos.

El debate sobre el riesgo en DeFi se desplaza hacia el diseño del sistema

La publicación también se centró en la seguridad del puente entre cadenas. Afirmó que Kelp utilizó una configuración de verificador 1 de 1, lo que significa que un solo nodo verificaba los mensajes cross-chain antes de que se movieran los fondos. La publicación argumentó que este diseño creó un único punto de fallo dentro de un producto comercializado como descentralizado.

El análisis también cuestionó el apilamiento de rendimientos. Señaló que cada capa añade nuevos riesgos, incluyendo el slashing de validadores, riesgos de restaking, errores en puentes, fallos de contratos y liquidaciones en préstamos.

La publicación indicó que los usuarios no deben juzgar los productos DeFi únicamente por el APY. Argumentó que los rendimientos más altos suelen reflejar riesgos ocultos en varios sistemas interconectados, y no simples ingresos pasivos.

El exploit de Kelp DAO se ha convertido ahora en parte de un debate más amplio sobre la seguridad, el apalancamiento y la transparencia en DeFi. El incidente mostró cómo un solo fallo puede afectar a usuarios de varias plataformas, incluidos aquellos que no interactuaron directamente con Kelp DAO.