Un’ondata di risposte a livello di protocollo per questioni di sicurezza è seguita all’exploit da 292 milioni di dollari su rsETH di KelpDAO il 19 aprile, con BitGo, Polygon e Katana che hanno agito rapidamente per isolare potenziali rischi di contagio.
L’attacco ha sottratto 116.500 rsETH dal bridge cross-chain di KelpDAO alimentato da LayerZero, tramite un messaggio falsificato che ha bypassato la configurazione della sua Decentralized Verifier Network (DVN).
I protocolli si muovono per contenere le conseguenze
BitGo, insieme a BiT Global Trust, ha disattivato in via precauzionale le DVN OFT LayerZero per Wrapped Bitcoin (WBTC). L’azienda ha confermato che i fondi degli utenti rimangono sicuri e si è impegnata a condividere aggiornamenti non appena saranno disponibili nuove informazioni.
Polygon ha dichiarato che la sua chain, Agglayer, e l’intero ecosistema non sono stati colpiti dall’incidente. La rete ha sottolineato di aver elaborato in sicurezza oltre 2.000 miliardi di dollari fino ad oggi.
Katana ha messo in pausa il percorso OFT su Vaultbridge, il quale si basava su una configurazione DVN 2/3. Il bridging tramite Agglayer, che verifica con zero-knowledge proof invece che con multisig proof-of-authority, è rimasto completamente disponibile.
Nel frattempo, Meir Dolev, CTO e co-fondatore di Cyvers, ha rivelato che KelpDAO era a soli tre minuti dal perdere altri 100 milioni di dollari. Una blacklist attivata rapidamente ha bloccato l’attaccante prima che il secondo tentativo potesse andare a buon fine.
I leader del settore chiedono limiti strutturali sulle transazioni
L’exploit ha riacceso il dibattito sull’importanza di limiti integrati alle transazioni all’interno dei protocolli DeFi. Guy Young, contributor di Ethena, ha sostenuto che gli emittenti di asset dovrebbero implementare limiti per i trasferimenti cross-chain oltre agli OFT standard di LayerZero.
“Abbiamo costruito una soluzione sopra l’OFT standard per limitare i trasferimenti cross-chain a 10 milioni di dollari all’ora per ogni DVN, oltre al limite di 10 milioni di dollari per blocco sul contratto di mint. Il primo limite avrebbe impedito ciò che è accaduto a Kelp, il secondo quello a Resolv,” ha scritto.
La configurazione di Ethena limita i danni potenziali a 10 milioni di dollari per chain all’ora, anche se una DVN venisse completamente compromessa. Young ha affermato che questo piccolo inconveniente per gli utenti sia un compromesso accettabile per evitare perdite catastrofiche.
Keone Hon, CEO e co-fondatore di Monad, ha proposto che i protocolli di lending con pool implementino “smart cap”, ovvero limiti intelligenti alla crescita rapida del collaterale disponibile.
Ha fatto riferimento all’hack di Resolv avvenuto a marzo, in cui l’attaccante ha mintato token all’infinito, ma è riuscito a sottrarre solo 24 milioni di dollari poiché le vie di uscita erano limitate.
Hon ha sostenuto che limiti di fornitura troppo elevati siano un rischio e non un segno di robustezza. Un cap appena superiore all’utilizzo corrente, regolabile nell’arco di alcune ore, avrebbe risparmiato ai depositanti rsETH 200 milioni di dollari, secondo le sue stime.
La violazione di KelpDAO è attualmente il più grande exploit DeFi del 2026. Se i protocolli adotteranno o meno i limiti suggeriti da questi leader potrebbe determinare la portata del prossimo attacco.
