En bølge av sikkerhetsreaksjoner på protokollnivå fulgte etter KelpDAO rsETH-angrepet på $ 292 millioner den 19. april, der BitGo, Polygon og Katana handlet raskt for å isolere potensiell smitteeffekt.
Angrepet tappet 116 500 rsETH fra Kelp DAO sitt LayerZero-drevne krysskjede-bro gjennom en forfalsket melding som omgåtte systemets Decentralized Verifier Network (DVN)-konfigurasjon.
Protokoller forsøker å begrense skadeomfanget
BitGo, sammen med BiT Global Trust, stengte LayerZero OFT DVN-ene for Wrapped Bitcoin (WBTC) som et føre var-tiltak. Selskapet bekreftet at brukernes midler forblir sikre og lovet å dele oppdateringer når mer informasjon blir tilgjengelig.
Polygon uttalte at kjeden deres, Agglayer, og det bredere økosystemet forblir upåvirket av hendelsen. Nettverket påpekte at de trygt har prosessert over $ 2 billioner så langt.
Katana pauset OFT-banen på Vaultbridge, som var avhengig av en 2/3 DVN-oppsett. Brokobling gjennom Agglayer, som verifiserer med zero-knowledge proofs i stedet for proof-of-authority multisigs, forble fullt tilgjengelig.
Samtidig avslørte teknologidirektør og medgründer Meir Dolev i Cyvers at KelpDAO bare var tre minutter unna å tape ytterligere $ 100 millioner. En rask svarteliste blokkerte angriperen før et nytt forsøk kunne lykkes.
Bransjeledere etterlyser strukturelle fartsgrenser
Angrepet har gjenopplivet krav om innebygde fartsgrenser på tvers av DeFi-protokoller. Ethena-bidragsyter Guy Young argumenterte for at aktiva-utstedere burde innføre begrensede krysskjede-overføringer på toppen av standard LayerZero OFT-er.
“Vi bygde en løsning på toppen av den standard OFT-en for å begrense krysskjede-overføringer til $ 10 millioner per time for hver DVN, i tillegg til $ 10 millioner per blokk-fartsgrense på mint-kontrakten. Det første ville ha forhindret Kelp, det siste Resolv,” skrev han.
Ethenas konfigurasjon setter et tak på potensiell skade til $ 10 millioner per kjede per time, selv hvis en DVN kompromitteres fullstendig. Young mener den lille ulempen for brukere er verdt det for å unngå katastrofale tap.
Keone Hon, daglig leder og medgründer av Monad, foreslo at utlånsprotokoller bør benytte “smarte tak” som begrenser hvor raskt tilbudet av sikkerhet kan vokse.
Han viste til Resolv-angrepet i mars, hvor angriperen kunne utstede uendelig mange tokens, men kun klarte å ta ut $ 24 millioner fordi uttaksbanene var små.
Hon argumenterte for at høye tilbudstak bør sees som en risiko, ikke et tegn på styrke. Et tilbudstak litt over nåværende bruk, justert over timer mot det reelle taket, ville ha spart rsETH-innskytere for $ 200 millioner, anslår han.
KelpDAO-angrepet er nå det største DeFi-angrepet i 2026. Om protokoller tar i bruk fartsgrensene disse lederne foreslår, kan avgjøre hvor stort det neste blir.
