El fundador de Cardano, Charles Hoskinson, utilizó su última transmisión en vivo para argumentar que la explotación de aproximadamente 292 millones de dólares en KelpDAO no fue solo otro fallo de un puente, sino una advertencia más amplia sobre cómo el re-staking, la mensajería cross-chain y el stack de préstamos de Ethereum pueden convertir un solo compromiso en un contagio a nivel del sistema.
Según Hoskinson, el ataque del 18 de abril expuso lo que él considera la parte más frágil del DeFi moderno: no necesariamente los contratos inteligentes a nivel de aplicación, sino las capas de verificación y las interdependencias que existen entre los protocolos. Dijo que la explotación, que involucró el drenaje de aproximadamente 116,500 rsETH del depósito en garantía de KelpDAO en Ethereum, debería forzar una conversación más amplia en la industria sobre los supuestos de confianza de los puentes, el diseño de los verificadores y la velocidad a la que un colateral malo puede propagarse a través de los mercados de préstamos.
El Fundador de Cardano Advierte sobre un Defecto Peligroso en el Corazón del DeFi de Ethereum
En lugar de ofrecer un postmortem estándar, Hoskinson dijo que tomó material interno de informes de incidentes y usó IA para convertirlo en un sitio web que guió a los espectadores a través de la mecánica de la explotación. Esa estructura enmarcó su punto principal: el fallo, según lo describió, no comenzó con una matemática de contrato rota dentro del propio KelpDAO, ni con un fallo contable obvio en LayerZero. En cambio, dijo que se centró en un mensaje cross-chain falsificado que fue aceptado como legítimo y permitió que se liberaran fondos en Ethereum.
"Entonces, esto no fue un problema de contrato inteligente con Kelp y esto no fue un problema de contrato inteligente con LayerZero, sino que fue una falsificación de mensaje cross-chain", dijo Hoskinson. "Así que esto fue algo nuevo y diferente".
El fundador de Cardano volvió repetidamente a una elección de diseño en particular: el uso reportado de una configuración de verificador uno-de-uno. En su explicación, la mejor práctica sería un modelo multi-verificador como tres-de-cinco, pero la configuración de KelpDAO dependía de un solo DVN activo. Eso, argumentó, creó un único punto de fallo inaceptable en un sistema ya estratificado con wrappers de staking, protocolos de re-staking, puentes y plataformas de préstamos.
"El fallo estuvo en la lógica de verificación, no en la lógica de la aplicación", dijo. "Kelp hizo todo bien desde sus contratos. Están auditados. Funcionan bien. La aplicación funciona bien. Es la configuración del puente".
Hoskinson también enfatizó que la industria aún carece de un relato establecido sobre exactamente dónde reside la responsabilidad.
Según su resumen, surgieron tres análisis de causa raíz separados después de la explotación: uno de LayerZero, uno de KelpDAO y uno vinculado a las discusiones de gobernanza de LlamaRisk y Aave, pero ninguno coincide completamente. Eso deja abierto si la ruptura ocurrió en la capa de mensajería, la configuración del verificador, la lógica de aceptación de KelpDAO o en las uniones entre ellos.
Lo que hizo que el evento fuera especialmente significativo, en su opinión, no fue solo el robo en sí, sino lo que sucedió después. En lugar de vender los rsETH robados en exchanges descentralizados, el atacante supuestamente los usó como colateral en los mercados de préstamos para pedir prestados activos más líquidos. Eso convirtió una explotación en un problema de balance para otros protocolos, dejando lo que Hoskinson describió como colateral envenenado.
Llamó a esa dinámica la verdadera novedad del incidente. "No fue solo un hackeo de puente. Se extendió a los préstamos, lo que luego creó un contagio de deuda incobrable dentro de estos protocolos de préstamo. Creó un pánico bancario y vimos 13 mil millones de dólares de TVL retirados en un período muy corto por un hackeo de 290 millones de dólares".
El fundador de Cardano dijo que el shock de liquidez de DeFi más amplio llegó mucho más allá del propio KelpDAO. Citando informes públicos referenciados en su recorrido, señaló al menos nueve protocolos directamente afectados y dijo que solo Aave vio pérdidas de entre 6.6 mil millones y 8.45 mil millones de dólares, mientras que el rsETH cotizó en un rango volátil entre aproximadamente 1.600 y 2.500 dólares durante las 24 horas posteriores al ataque.
También planteó la posibilidad de la participación de Lazarus, aunque reconoció que la atribución sigue sin confirmarse. "Hay mucha evidencia aquí de que hay conexiones con Lazarus", dijo, antes de agregar que ninguna firma forense independiente lo había probado definitivamente.
Al cierre de esta edición, Cardano (ADA) cotizaba a 0.2504 dólares.
