Protokollatason turvallisuusreaktioita nähtiin heti KelpDAO:n rsETH-kurimusiskun jälkeen 19. huhtikuuta, jossa varoja menetettiin 292 miljoonan dollarin edestä. BitGo, Polygon ja Katana toimivat nopeasti eristääkseen mahdollisen leviämisen.
Hyökkäyksessä tyhjennettiin 116 500 rsETH Kelp DAO:n LayerZero-teknologiaan perustuvasta ketjujenvälisestä sillasta väärennetyllä viestillä, joka ohitti sen hajautetun varmennusverkon (DVN) kokoonpanon.
Protokollat ryhtyivät rajaamaan vaikutuksia
BitGo yhdessä BiT Global Trustin kanssa poisti varotoimenpiteenä käytöstä LayerZero OFT DVN:t Wrapped Bitcoinille (WBTC). Yhtiö vahvisti, että käyttäjien varat ovat turvassa ja lupasi tiedottaa uusista tapahtumista heti, kun lisätietoa on saatavilla.
Polygon kertoi, että sen ketju, Agglayer sekä laajempi ekosysteemi eivät ole kärsineet iskusta. Verkko huomautti lisäksi käsitelleensä turvallisesti yli 2 biljoonan dollarin arvosta transaktioita koko historiansa aikana.
Katana pysäytti OFT-reitin Vaultbridgellä, joka perustui 2/3 DVN-malliin. Siltaaminen Agglayerin kautta, joka todentaa nollatieto-todisteilla eikä authority-multisigillä, pysyi täysin käytettävänä.
Samaan aikaan Cyversin teknologiajohtaja ja toinen perustaja Meir Dolev paljasti, että KelpDAO:lta oli vain kolmen minuutin päässä kadota vielä 100 miljoonaa dollaria. Nopea mustalle listalle lisääminen esti hyökkääjää onnistumasta toisella yrittämällään.
Alan johtajat vaativat rakenteellisia nopeusrajoituksia
Hyökkäys on jälleen nostanut esiin vaatimukset sisäänrakennetuista nopeusrajoista DeFi-protokollien tasolla. Ethenan kontribuuttori Guy Young esitti, että omaisuuserien liikkeeseenlaskijoiden tulisi toteuttaa rajoitettuja ketjujenvälisiä siirtoja tavallisten LayerZero OFT:n lisäksi.
“Rakensimme ratkaisun vakio-OFT:n päälle, joka rajoittaa ketjujen väliset siirrot 10 miljoonaan dollariin tunnissa jokaista DVN:ää kohden, lisäksi 10 miljoonan dollarin per lohko limiitti minttaus-sopimukselle. Ensimmäinen olisi estänyt Kelpin, jälkimmäinen Resolvin,” hän kirjoitti.
Ethenan asetuksilla mahdollinen vahinko on korkeintaan 10 miljoonaa dollaria per ketju tunnissa vaikka DVN olisi täysin kaapattu. Youngin mukaan pieni lisähävikkä käyttäjäkokemuksessa on hyväksyttävä hinta katastrofaalisten tappioiden välttämiseksi.
Keone Hon, Monad-yhtiön toimitusjohtaja ja perustaja, ehdotti, että poolattujen lainaprotokollien tulisi käyttää “smart caps” -rajoja, jotka rajoittavat kuinka nopeasti vakuuksien määrä voi kasvaa.
Hon viittasi Resolv-hakkerointiin maaliskuussa, jossa hyökkääjä minttasi rajattomasti tokeneita mutta pystyi viemään vain 24 miljoonan dollarin arvosta, koska uloskäytävät olivat pieniä.
Honin mukaan korkeat enimmäistarjonnan rajat pitäisi nähdä riskinä, ei onnistumisen merkkinä. Määräraja hieman käytön päällä, mutta joka säätyy todelliseen kattoon tunnin mittaan, olisi hänen arvionsa mukaan säästänyt rsETH-talletuksille 200 miljoonaa dollaria.
KelpDAO:n tapaus on nyt vuoden 2026 suurin DeFi-kyberisku. Se, ottaako ala johtajien ehdottamat nopeusrajoitukset käyttöön, voi ratkaista, kuinka suuri seuraava tapaus tulee olemaan.
