DeFi mister 13 milliarder dollar på en måned – KelpDAO-redningen afslører både det bedste og værste i decentraliseret finans

Decentraliseret finans (DeFi) har netop oplevet en af de største kriser i sin korte historie. Efter et omfattende hack mod KelpDAO’s rsETH-bro er markedsværdien i sektoren faldet med over 13 milliarder dollar på blot en måned. Redningsindsatsen, der er blevet organiseret af DeFi United, har samlet over 69.550 ETH fra 222 forskellige wallets gennem 1.623 transaktioner. Formålet er at genoprette den manglende dækning for rsETH, hvilket gør indsatsen til en slags nødlånefacilitet for DeFi – uden regulering, centralbank eller formelt mandat.

Hvordan blev hullet så stort?

KelpDAO’s rsETH-bro var konfigureret med en 1-af-1-verifikationsmodel, hvor LayerZero Labs stod som eneste verificerende part. Ifølge forskning fra Galaxy udnyttede angriberen denne opsætning til at låse op for 116.500 rsETH fra Ethereum-mainnet. De stjålne tokens blev herefter brugt som sikkerhed i protokoller som Aave, Compound og Euler til at låne omkring 236 millioner dollar i WETH og wstETH.

Inden for 48 timer faldt DeFi’s samlede total value locked (TVL) med omkring 13 milliarder dollar. Aave alene mistede 8,45 milliarder dollar i TVL, mens WETH-udnyttelsen nåede 100%, da brugere hastigt forsøgte at trække deres midler ud. Samtidig blev stablecoin-pools som USDT og USDC presset til fuld kapacitet.

Redningsindsatsen halter stadig

DeFi United’s aktuelle indsamling dækker omkring 92,5% af det resterende hul, hvilket efterlader en 5.632 ETH stor gæld. Et bredere overblik viser, at der er forpligtet 100.200 ETH mod et mål på 116.500 ETH, når Arbitrums frosne genopretningsvej medregnes. Dette giver en samlet dækning på omkring 86%.

Begge tal kommer dog med en væsentlig forbehold: de fleste store bidrag afhænger stadig af godkendelse via governance-afstemninger. Flere nøglebidrag, herunder LayerZero’s ukendte bidrag, er endnu ikke offentliggjort med beløb.

Status for de største bidrag

• Mantle: Afventer afstemning – 30.000 ETH (Største offentliggjorte bidrag; centralt for at lukke hullet)
• Aave DAO: Afventer afstemning – 25.000 ETH (Kerneskatkammerets backup og test af DAO’s villighed til at absorbere tab)
• Stani Kulechov: Forpligtet – 5.000 ETH (Grundlæggerens personlige bidrag, der styrker troværdigheden)
• EtherFi: Afventer afstemning – 5.000 ETH (Stor aktør i indsatsen)

Hvad betyder dette for DeFi’s fremtid?

Denne hændelse har sat spørgsmålstegn ved DeFi’s evne til at håndtere kriser uden traditionelle sikkerhedsnet. Selvom redningsindsatsen viser solidaritet og hurtig reaktion, afslører den også sårbarheder i broers design og tillidsmodeller.

"Dette er det tætteste, DeFi kommer på en nødlånefacilitet, men uden regulatorisk ramme eller central bank. Det fungerer kun, fordi aktørerne frivilligt går sammen om at løse krisen," siger en anonym analytiker.

LayerZero’s egen redegørelse karakteriserede angrebet som RPC-forgiftning rettet mod infrastrukturen i deres decentraliserede valideringsnetværk (DVN). De undgik dog at pege på en fejl i selve LayerZero-protokollen. Alligevel afhængte hele hændelsen af broens konfiguration med LayerZero Labs som eneste verificerende part – en opsætning, der koncentrerede tilliden ét sted.

DeFi United lister LayerZero som "Bekræftet, endnu ikke besluttet". Det ukendte bidrag fra LayerZero er derfor et af de mest afgørende manglende brikker i genopretningen.

Stabilecoins og censurmodstand i søgelyset

Hændelsen har også sat fokus på stabilecoins og censurmodstand i DeFi. Store aktører som Tether har vist, hvor vigtig hurtig indgriben er for at stoppe tyve, mens debatter om, hvem der har ret til at fryse digitale dollars, fortsætter.

Efter hændelserne med Drift og Rhea kan brugere af stablecoins nu prioritere sikkerhed og hurtig indgriben højere end gamle DeFi-slogans om decentralisering og censurmodstand.