Er volgde een golf aan veiligheidmaatregelen op protocolniveau na de $292 miljoen KelpDAO rsETH-exploit op 19 april. BitGo, Polygon en Katana hebben snel gehandeld om mogelijk risico verder te beperken.
Bij de aanval werd 116.500 rsETH gestolen van Kelp DAO’s cross-chain brug die werkt met LayerZero, via een vervalst bericht dat de Decentralized Verifier Network (DVN) beveiliging omzeilde.
Protocollen nemen maatregelen om schade te beperken
BitGo en BiT Global Trust haalden uit voorzorg de LayerZero OFT DVN’s voor Wrapped Bitcoin (WBTC) offline. Het bedrijf bevestigde dat gebruikersgelden veilig zijn en beloofde updates te geven zodra er meer informatie is.
Polygon gaf aan dat hun chain, Agglayer, en het bredere ecosysteem niet zijn getroffen door het incident. Het netwerk gaf aan dat het tot nu toe veilig meer dan $2 biljoen heeft verwerkt.
Katana pauzeerde het OFT-kanaal op Vaultbridge, dat werkte met een 2/3 DVN-opstelling. Bridgen via Agglayer, dat werkt met zero-knowledge proofs in plaats van proof-of-authority multisigs, bleef wel volledig toegankelijk.
Ondertussen liet Cyvers CTO en medeoprichter Meir Dolev weten dat KelpDAO slechts drie minuten verwijderd was van nog eens $100 miljoen verlies. Dankzij een snelle blacklisting kwamen de aanvallers niet tot een tweede geslaagde poging.
Industrieleiders roepen op tot structurele limieten
De exploit zorgt opnieuw voor discussie over ingebouwde limieten binnen DeFi-protocollen. Ethena-bijdrager Guy Young stelt dat coin-uitgevers extra limieten moeten instellen op cross-chain transfers bovenop de standaard LayerZero OFTs.
“We hebben bovenop de standaard OFT een oplossing gebouwd om cross-chain transfers te beperken tot $10 miljoen per uur per DVN, naast de $10 miljoen per blok limiet in het mint contract. De eerste maatregel had Kelp kunnen voorkomen, de tweede Resolv,” schreef hij.
De stabiliteit bij Ethena zorgt ervoor dat er maximaal $10 miljoen schade per chain per uur kan ontstaan, zelfs als een DVN helemaal is gecompromitteerd. Young vindt dat dit kleine ongemak voor gebruikers opweegt tegen het voorkomen van grote verliezen.
Keone Hon, CEO en medeoprichter van Monad, stelde voor dat leenprotocollen ”smart caps” moeten invoeren, waarmee de groei van het onderpand wordt beperkt.
Hij verwees naar de Resolv-hack in maart, waarbij de aanvaller oneindig veel tokens kon minten, maar slechts $24 miljoen kon opnemen omdat de uitwegen klein waren.
Hon gaf aan dat hoge supply-limieten eerder risicovol zijn dan succesvol. Volgens hem had een limiet net boven het actuele gebruik, die zich langzaam aanpast naar het werkelijke maximum, rsETH-depositeurs $200 miljoen kunnen besparen.
De KelpDAO-hack is nu de grootste DeFi-exploit van 2026. Of protocollen de voorgestelde limieten echt gaan doorvoeren, bepaalt mogelijk hoe groot de volgende hack wordt.
