Cardano-oprichter waarschuwt dat KelpDAO-hack Ethereum's zwakste schakel blootlegt

Cardano-oprichter Charles Hoskinson gebruikte zijn laatste livestream om te betogen dat de KelpDAO-exploit van ongeveer $292 miljoen niet zomaar een andere brugstoring was, maar een bredere waarschuwing over hoe Ethereums restaking, cross-chain messaging en leenstack een enkele inbreuk kunnen omzetten in een systeem brede besmetting.

Volgens Hoskinson legde de aanval van 18 april bloot wat hij ziet als het kwetsbaarste onderdeel van modern DeFi: niet noodzakelijkerwijs smart contracts op applicatieniveau, maar de verificatielagen en onderlinge afhankelijkheden die tussen protocollen liggen. Hij zei dat de exploit, waarbij ongeveer 116.500 rsETH werd weggesluisd uit KelpDAO's Ethereum-escrow, een bredere industriegesprek moet afdwingen over vertrouwensaannames bij bruggen, verifieerontwerp en de snelheid waarmee slechte onderpanden zich door leenmarkten kunnen verspreiden.

Cardano-oprichter waarschuwt voor gevaarlijke fout in het hart van Ethereum DeFi

In plaats van een standaard postmortem te geven, zei Hoskinson dat hij intern incidentrapportmateriaal nam en AI gebruikte om er een website van te maken die kijkers door de mechanica van de exploit leidde. Die structuur omlijstte zijn grotere punt: de storing, zoals hij die beschreef, begon niet met gebroken contractwiskunde binnen KelpDAO zelf, noch met een voor de hand liggende boekhoudkundige fout bij LayerZero. In plaats daarvan zei hij dat het draaide om een vervalst cross-chain bericht dat als legitiem werd geaccepteerd en het vrijgeven van fondsen op Ethereum mogelijk maakte.

"Dus dit was geen smart contract-probleem met Kelp en dit was geen smart contract-probleem met LayerZero, maar dit was een cross-chain berichtenvervalsing," zei Hoskinson. "Dit was dus iets nieuws en anders."

De Cardano-oprichter keerde herhaaldelijk terug naar één specifieke ontwerpkeuze: het gemelde gebruik van een één-van-één verificatorconfiguratie. In zijn uitleg zou de beste praktijk een multi-verificatormodel zijn zoals drie-van-vijf, maar KelpDAO's opstelling vertrouwde op één actieve DVN. Dat, zo betoogde hij, creëerde een onaanvaardbaar single point of failure in een systeem dat al gelaagd was met staking-wrappers, restaking-protocollen, bruggen en leenplatforms.

"De storing zat in de verificatielogica, niet in de applicatielogica," zei hij. "Kelp heeft alles goed gedaan met hun contracten. Ze zijn geauditeerd. Ze werken goed. De applicatie werkt goed. Het is de brugconfiguratie." Hoskinson benadrukte ook dat de industrie nog steeds geen eenduidig ​​antwoord heeft over waar de verantwoordelijkheid precies ligt.

Volgens zijn samenvatting kwamen er na de exploit drie afzonderlijke hoofdoorzaakanalyses naar voren: één van LayerZero, één van KelpDAO en één gekoppeld aan LlamaRisk en Aave-governancediscussies, maar geen enkele is het volledig eens. Dat laat open of de breuk plaatsvond in de berichtenlaag, de verificatorconfiguratie, de acceptatielogica van KelpDAO of in de naden daartussen.

Wat de gebeurtenis in zijn ogen bijzonder significant maakte, was niet alleen de diefstal zelf, maar wat er daarna gebeurde. In plaats van de gestolen rsETH te dumpen op gedecentraliseerde exchanges, gebruikte de aanvaller het naar verluidt als onderpand op leenmarkten om meer liquide activa te lenen. Dat veranderde een exploit in een balansprobleeem voor andere protocollen, waarbij wat Hoskinson omschreef als vergiftigd onderpand achterbleef.

Hij noemde die dynamiek de echte nieuwigheid van het incident. "Het was niet zomaar een brughack. Het verspreidde zich naar lenen, wat vervolgens slechte schuldbesmetting creëerde binnen deze leenprotocollen. Het creëerde een bankrun en we zagen $13 miljard aan TVL wegstromen in een zeer korte periode voor een hack van $290 miljoen."

De Cardano-oprichter zei dat de bredere DeFi-liquiditeitsschok veel verder reikte dan KelpDAO zelf. Verwijzend naar publieke berichtgeving in zijn walkthrough wees hij op minstens negen direct getroffen protocollen en zei dat Aave alleen al tussen $6,6 miljard en $8,45 miljard aan verliezen zag, terwijl rsETH in een volatiele bandbreedte tussen ongeveer $1.600 en $2.500 handelde gedurende de 24 uur na de aanval.

Hij opperde ook de mogelijkheid van betrokkenheid van Lazarus, hoewel hij erkende dat de toeschrijving onbevestigd blijft. "Er is hier veel bewijs dat er Lazarus-verbanden zijn," zei hij, voordat hij eraan toevoegde dat geen enkele onafhankelijke forensisch bedrijf dit definitief had bewezen.

Op het moment van schrijven werd Cardano (ADA) verhandeld tegen $0,2504.