Kelp DAO-exploit veroorzaakt vertrouwenscrisis in DeFi

Een versie van dit verhaal verscheen in de The Decentralised-nieuwsbrief van 21 april. Meld je hier aan.

De crypto-stemming is somber.

Met $293 miljoen gestolen is de Kelp DAO-LayerZero-exploit van dit weekend de 10e grootste in de DefiLlama-database. De Bybit-roof van vorig jaar was bijna vijf keer groter.

Toch heeft het een vertrouwenscrisis veroorzaakt die de somberheid van 2022 misschien overtreft, toen mensen er oprecht bang voor waren dat crypto een reeks faillissementen van miljarden dollars niet zou overleven, die Bitcoin naar $16.000 sleepten.

Dus, wat kan erger zijn dan de dood? Waarom is de stemming zo slecht? Bitcoin is immers in de afgelopen week gestegen.

Op X, de informele ontmoetingsplaats van de industrie, posten crypto-ontwikkelaars en -investeerders met de verbijsterde toon van mensen die denken dat ze een leugen hebben ontdekt — dat de inherente afwegingen van gedecentraliseerde technologie de moeite niet waard zijn, en dat de technologie hoe dan ook niet zo gedecentraliseerd is als het erop aankomt.

Crypto-investeerder Jon Wu vatte het zo samen (interpunctie toegevoegd voor leesbaarheid): "Man, ik weet dat DeFi niet volledig voorbij is, maar het voelt voorbij. En niet op de normale bearmarkt-manier van apathie-en-nul-vol-dode-grafiek — maar op de 'ik weet het niet, misschien was atomaire composabiliteit van willekeurige financiële instrumenten beveiligd door unieke exemplaren een vergissing'-manier."

Seraphim Czecker van de Solana Foundation verwoordde het bondiger: "Voelt als het Lehman-moment van DeFi," schreef hij, verwijzend naar Lehman Brothers, een grote Amerikaanse investeringsbank die in 2008 instortte en de financiële crisis veroorzaakte die leidde tot de Grote Recessie.

Nu moeten DeFi-ontwikkelaars het risicoprofiel van de technologie verbeteren, schreef investeerder Simon Dedic, die beveiliging omschreef als "een van de meest onderbedeelde en minst spannende sectoren om in te werken."

"De risico-rendementsverhouding van DeFi is simpelweg niet meer aantrekkelijk genoeg," schreef hij. "DeFi was eigenlijk bedoeld om het risico van een tussenpersoon te elimineren en financiën veiliger te maken door je de controle over je eigen assets te geven. Maar het voelt alsof we precies het tegenovergestelde hebben bereikt."

De hack trof Kelp DAO natuurlijk, maar leidde ook tot de ophoping van slechte schulden op Aave. Zo veel gebruikers zijn Aave ontvlucht — deposito's zijn in de afgelopen zeven dagen met bijna 40% gedaald — dat het de titel van "grootste DeFi-protocol" heeft verloren, ten gunste van Lido.

De hacker of hackers gingen er vandoor met meer dan 116.000 rsETH en probeerden bijna nog eens 40.000 ter waarde van $92 miljoen mee te nemen. Maar ze werden geblokkeerd door Kelp DAO, dat relevante smart contracts op het nippertje pauzeerde.

De hacker wisselde de gestolen crypto op gedecentraliseerde exchanges en leende ertegen op leenprotocollen, zoals Aave, via Ethereum en Arbitrum.

Kelp DAO was niet de enige organisatie die actie ondernam. Aave bevroor rsETH-reserves. En in een bijna ongekende stap bevroor de 12-leden tellende beveiligingsraad van Arbitrum ongeveer 31.000 Ether ter waarde van $72 miljoen op de blockchain.

Griff Green, een lid van de beveiligingsraad, zei dat hij en zijn collega's de beslissing niet lichtvaardig namen.

Arbitrum-oprichter Steven Goldfeder noemde het "een van de meest complexe beslissingen die ooit zijn genomen in de governance-geschiedenis van Arbitrum."

"Dit proces was extreem gedistribueerd en gecoördineerd door onafhankelijke actoren," schreef hij. "In een wereld waar beveiligingsraden bestaan, is die van Arbitrum een meesterklas."

Beveiligingsonderzoeker Taylor Monahan vierde de stap.

Maar crypto-advocaat Gabriel Shapiro merkte op dat het bevriezen van fondsen om een hack ongedaan te maken vraagtekens plaatst bij het volledige concept van DeFi, dat bedoeld was om peer-to-peer financiën mogelijk te maken en tussenpersonen met de macht om transacties te censureren te verwijderen, goed of slecht.

De beslissing van Arbitrum opent een hele nieuwe doos van Pandora, aldus Curve Finance-oprichter Michael Egorov.

"Veel mensen zullen waarschijnlijk heroverwegen of het gebruik van Arbitrum veilig is na dit," schreef hij. "Ook als ze iedereen kunnen bevriezen — moeilijk te beweren dat sommige TradFi-regelgeving niet van toepassing is op de chain zelf. Het is geen neutrale infrastructuur."

Hij stelde een sectorbijeenkomst voor om beste praktijken te ontwikkelen voor het beveiligen van DeFi-protocollen.

Een pseudonieme Yuga Labs-medewerker die, passend op dit moment, door het leven gaat als "Quit," zei dat de oplossing eenvoudiger is dan bevriezingen en beveiligingsbijeenkomsten. De oplossing is om te stoppen met een degen te zijn en exotische, gelaagde, rendementsopleverende assets na te jagen.

"Het vertrouwen in DeFi is momenteel op een historisch dieptepunt," schreef Quit. "We moeten terug naar de basis. Er is geen reden waarom iemand die ETH wil storten om USDC te lenen kwetsbaar zou moeten zijn voor besmetting van een bridge voor liquid restaked rsKxyzstETH."

Belangrijkste DeFi-verhalen van de week

Deze week in DeFi-governance

STEMMING: Morpho stemt voor het autoriseren van incentives op Tempo

VOORSTEL: Aave DAO debatteert over het pauzeren van tokens om de Kelp DAO-hack aan te pakken

VOORSTEL: Lido DAO debatteert over voorstel om transparantie en consistentie in de beoordeling van node-operators te vergroten

Aleks Gilbert is DL News' in New York gevestigde DeFi-correspondent. Je kunt hem bereiken via [email protected].