DeFi förlorade 13 miljarder dollar – räddningsaktionen för KelpDAO visar både styrkor och svagheter

En historisk räddningsinsats i DeFi

DeFi United har genomfört en omfattande insamling för att täcka bristen i rsETH, en kritisk del av DeFi-ekosystemet. Enligt officiella uppgifter har över 69 550 ETH samlats in från 222 olika plånböcker via 1 623 överföringar. Syftet är att återställa den bakomliggande säkerheten för rsETH, vilket gör insatsen till en av de mest betydelsefulla räddningsaktionerna inom decentraliserad finansiering (DeFi).

Denna insats fungerar som en nödreskapitaliseringsmekanism för DeFi, utan inblandning av regulatorer, centralbanker eller formella mandat. Trots bristen på traditionella skyddsnät visar räddningen både styrkan och sårbarheterna i DeFi-systemen.

Bakgrund: Hur uppstod krisen?

Enligt Aaves styrningsförslag uppgick den ursprungliga bristen i rsETH till cirka 163 183 ETH. Flera åtgärder har vidtagits för att minska gapet, inklusive:

• 43 168 ETH från KelpDAO
• 30 766 ETH frysta av Arbitrum Security Council
• Upp till 12 323 WETH från Aave-likvidationer
• 1 845 WETH från Compound

Tillsammans har dessa åtgärder minskat det återstående finansieringsgapet till cirka 75 081 ETH.

DeFi Uniteds roll i räddningen

DeFi United täcker för närvarande cirka 92,5 % av det kvarvarande gapet, vilket motsvarar cirka 5 632 ETH. En bredare översikt visar att 100 200 ETH har åtagits mot ett mål på 116 500 ETH, inklusive de frysta medlen från Arbitrum. Totalt täcker detta cirka 86 % av behovet.

Trots framstegen kvarstår utmaningar. Många av de största bidragen är ännu inte godkända via styrningsomröstningar, och flera nyckelbidrag saknar offentliggjorda belopp. En vattenfallsdiagram illustrerar hur återställningsåtgärderna har minskat rsETH-bristen från 163 183 ETH till ett återstående gap på 5 632 ETH.

Attacken som utlöste krisen

KelpDAOs rsETH-brygga använde en 1-av-1-konfiguration med LayerZero Labs som enda verifierare. Enligt forskning från Galaxy utnyttjade en angripare denna uppsättning för att låsa upp 116 500 rsETH från Ethereum-mainnet. De stulna tokenerna användes sedan som säkerhet i Aave, Compound och Euler för att låna ut motsvarande 236 miljoner dollar i WETH och wstETH.

Inom 48 timmar sjönk DeFis totala värde (TVL) med cirka 13 miljarder dollar. Aave stod för den största förlusten med en minskning på 8,45 miljarder dollar i TVL. WETH-utnyttjandet nådde 100 % när användare i panik försökte ta ut sina medel, vilket även ledde till full utnyttjande av USDT- och USDC-pooler.

LayerZero själva beskrev attacken som en RPC-förgiftning riktad mot infrastrukturen i deras decentraliserade valideringsnätverk (DVN). De undvek dock att peka ut specifika brister i LayerZero-protokollet. Bryggan var fortfarande beroende av LayerZero Labs som enda verifierare, vilket koncentrerade förtroendet till en enda punkt.

Osäkra bidrag och framtida utmaningar

DeFi United listar LayerZero som "Bekräftat, ännu ej beslutat". Eftersom hela incidenten gick via denna bryggkonfiguration är LayerZeros bidrag en av de mest avgörande saknade pusselbitarna i återhämtningen.

Nedan följer en översikt över kända bidrag och deras status:

Vad kan vi lära oss av denna incident?

"Denna händelse visar att DeFi fortfarande är sårbart för centraliserade risker, även när systemen är decentraliserade. Att förlita sig på en enda verifierare som LayerZero skapar en kritisk svaghet. Framtida lösningar måste inkludera fler lager av säkerhet och decentralisering för att förhindra liknande attacker."

Slutsats: Räddningen är halvvägs klar

Även om DeFi Uniteds insats har täckt en stor del av gapet, återstår betydande utmaningar. Många bidrag är ännu inte godkända, och vissa nyckelspelare har inte offentliggjort sina åtaganden. Denna incident belyser behovet av bättre riskhantering, ökad transparens och decentraliserade säkerhetslösningar inom DeFi.

Fram till dess fortsätter DeFi att utvecklas i en snabb takt, men denna händelse påminner om att innovation måste gå hand i hand med säkerhet och tillförlitlighet.