Le fondateur de Cardano, Charles Hoskinson, a utilisé sa dernière diffusion en direct pour soutenir que l'exploit d'environ 292 millions de dollars de KelpDAO n'était pas simplement un autre échec de pont, mais un avertissement plus large sur la façon dont le restaking d'Ethereum, la messagerie inter-chaînes et la pile de prêt peuvent transformer un seul compromis en une contagion à l'échelle du système.
Selon Hoskinson, l'attaque du 18 avril a exposé ce qu'il considère comme la partie la plus fragile du DeFi moderne : pas nécessairement les contrats intelligents au niveau applicatif, mais les couches de vérification et les interdépendances qui se situent entre les protocoles. Il a déclaré que l'exploit, qui a impliqué le drainage d'environ 116 500 rsETH de l'escrow Ethereum de KelpDAO, devrait forcer une conversation plus large dans l'industrie sur les hypothèses de confiance des ponts, la conception des vérificateurs et la vitesse à laquelle les mauvais collatéraux peuvent se propager sur les marchés de prêt.
Le fondateur de Cardano met en garde contre une faille dangereuse au cœur du DeFi d'Ethereum
Plutôt que de livrer un post-mortem standard, Hoskinson a déclaré avoir pris du matériel interne de rapport d'incident et utilisé l'IA pour le transformer en un site web qui guidait les spectateurs à travers la mécanique de l'exploit. Cette structure a cadré son point principal : l'échec, tel qu'il l'a décrit, n'a pas commencé par une mathématique de contrat défaillante à l'intérieur de KelpDAO lui-même, ni par une faille comptable évidente chez LayerZero. Au lieu de cela, il a déclaré que cela s'était centré sur un message inter-chaînes forgé qui a été accepté comme légitime et a permis la libération de fonds sur Ethereum.
« Donc, ce n'était pas un problème de contrat intelligent avec Kelp et ce n'était pas un problème de contrat intelligent avec LayerZero, mais c'était une falsification de message inter-chaînes », a déclaré Hoskinson. « Donc, c'était quelque chose de nouveau et de différent. »
Le fondateur de Cardano est revenu à plusieurs reprises sur un choix de conception en particulier : l'utilisation rapportée d'une configuration de vérificateur un-sur-un. Dans son explication, la meilleure pratique serait un modèle multi-vérificateur tel que trois-sur-cinq, mais la configuration de KelpDAO reposait sur un seul DVN actif. Cela, a-t-il soutenu, a créé un point de défaillance unique inacceptable dans un système déjà superposé de wrappers de staking, de protocoles de restaking, de ponts et de plateformes de prêt.
« L'échec était dans la logique de vérification, pas dans la logique applicative », a-t-il déclaré. « Kelp a tout fait correctement de la part de ses contrats. Ils sont audités. Ils fonctionnent bien. L'application fonctionne bien. C'est la configuration du pont. »
Hoskinson a également souligné que l'industrie manque encore d'un compte-rendu établi sur l'endroit exact où se situe la responsabilité.
Selon son résumé, trois analyses de cause racine distinctes sont apparues après l'exploit : une de LayerZero, une de KelpDAO, et une liée aux discussions de gouvernance LlamaRisk et Aave, mais aucune n'est pleinement d'accord. Cela laisse ouverte la question de savoir si la rupture s'est produite dans la couche de messagerie, la configuration du vérificateur, la logique d'acceptation de KelpDAO, ou dans les coutures entre eux.
Ce qui a rendu l'événement particulièrement significatif, selon lui, n'était pas seulement le vol lui-même mais ce qui s'est passé ensuite. Au lieu de déverser les rsETH volés sur les échanges décentralisés, l'attaquant les aurait utilisés comme collatéral sur les marchés de prêt pour emprunter des actifs plus liquides. Cela a transformé un exploit en un problème de bilan pour d'autres protocoles, laissant ce qu'Hoskinson a décrit comme un collatéral empoisonné derrière lui.
Il a appelé cette dynamique la vraie nouveauté de l'incident. « Ce n'était pas seulement un piratage de pont. Cela s'est propagé au prêt, ce qui a ensuite créé une contagion de mauvaise dette à l'intérieur de ces protocoles de prêt. Cela a créé une ruée bancaire et nous avons vu 13 milliards de dollars de TVL retirés en très peu de temps pour un piratage de 290 millions de dollars. »
Le fondateur de Cardano a déclaré que le choc de liquidité DeFi plus large a atteint bien au-delà de KelpDAO lui-même. Citant des rapports publics référencés dans son explication, il a pointé du doigt au moins neuf protocoles directement affectés et a déclaré qu'Aave seul avait subi des pertes comprises entre 6,6 et 8,45 milliards de dollars, tandis que le rsETH a négocié dans une fourchette volatile entre environ 1 600 $ et 2 500 $ pendant les 24 heures suivant l'attaque.
Il a également soulevé la possibilité d'une implication de Lazarus, bien qu'il ait reconnu que l'attribution reste non confirmée. « Il y a beaucoup de preuves ici qu'il y a des connexions Lazarus », a-t-il dit, avant d'ajouter qu'aucune entreprise médico-légale indépendante ne l'avait définitivement prouvé.
Au moment de la rédaction, Cardano (ADA) s'échangeait à 0,2504 $.
