Het Protocol: Kelp DAO voor $292 miljoen uitgebuit

Netwerk Nieuws

KELP DAO-EXPLOIT: Een cross-chain bridge die bijna een vijfde van de circulerende voorraad van een restaked ether-token vasthoudt, is zojuist leeggehaald, en de nasleep verspreidt zich door DeFi sneller dan Kelp DAO contracten kan pauzeren. Een aanvaller gedraineerd 116.500 rsETH (hergestaked ether) van Kelp DAO's LayerZero-aangedreven brug werd dit weekend om 17:35 UTC leeggehaald, met een waarde van ongeveer $292 miljoen tegen de huidige prijzen en vertegenwoordigt ongeveer 18% van de circulerende voorraad van 630.000 rsETH-tokens, gevolgd door CoinGecko. LayerZero is een cross-chain berichtlaag, oftewel de infrastructuur die verschillende blockchains in staat stelt om elkaar geverifieerde instructies te sturen. Kelp DAO is een liquid restaking-protocol dat door gebruikers gestorte ETH neemt, deze via EigenLayer leidt om extra rendement te verdienen bovenop de standaard Ethereum-stakingbeloningen, en geeft rsETH uit als een verhandelbare ontvangstbewijs. De brug die werd leeggehaald, hield de rsETH-reserve aan die de achterliggende gespiegelde versies van de token op meer dan 20 andere blockchains ondersteunt. De aanvaller misleidde LayerZero's cross-chain berichtlaag door te doen geloven dat er een geldige instructie was aangekomen van een ander netwerk, wat Kelp's brug activeerde om 116.500 rsETH vrij te geven aan een door de aanvaller gecontroleerd adres. De nood-multisig van Kelp zette de kerncontracten van het protocol 46 minuten na de succesvolle leegtrekking, om 18:21 UTC, in de vriezer. Twee daaropvolgende pogingen om 18:26 UTC en 18:28 UTC werden beide afgewezen, waarbij elk hetzelfde LayerZero-pakket bevatte dat probeerde nog eens 40.000 rsETH te stelen ter waarde van ongeveer $100 miljoen. — Shaurya Malwa Lees meer.

NOORD-KOREA CRYPTO-ROOFPLAN: Minder dan drie weken nadat door Noord-Korea gelinkte hackers social engineering gebruikten om hit crypto-handelsbedrijf Drift, hackers die aan de staat gelinkt zijn, lijken opnieuw een grote exploit te hebben uitgevoerd bij Kelp. De aanval op Kelp, een restaking-protocol dat is gekoppeld aan LayerZero’s cross-chain infrastructuur, wijst op een evolutie in de werkwijze van hackers die aan Noord-Korea gelinkt zijn, niet alleen op zoek naar kwetsbaarheden of gestolen inloggegevens, maar door het misbruiken van de fundamentele veronderstellingen die ingebed zijn in gedecentraliseerde systemen. Samen genomen vormen de twee incidenten wijst op iets meer georganiseerd dan een reeks op zichzelf staande hacks, aangezien Noord-Korea zijn inspanningen om geld uit de cryptosector te kapen blijft opvoeren. “Dit is geen reeks incidenten; het is een cadans,” zei Alexander Urbelis, Chief Information Security Officer en General Counsel bij ENS Labs. “Je kunt je niet uit een inkoopplanning patchen.” Meer dan $500 miljoen werd weggelekt via de Drift- en Kelp-exploits in iets meer dan twee weken. In essentie hield de Kelp-exploit geen inbraak in encryptie of het kraken van sleutels in. Het systeem werkte eigenlijk zoals het ontworpen was. In plaats daarvan manipuleerden aanvallers de data die het systeem voeden en dwongen het te vertrouwen op die gecompromitteerde inputs, waardoor het transacties goedkeurde die nooit daadwerkelijk plaatsvonden. — Margaux Nijkerk Lees meer.

AAVE GETROFFEN DOOR KELP DAO-HACK: Een aanvaller misbruikte die opzet door een overdrachtsbericht te vervalsen dat geldig leek. Het systeem keurde de overdracht goed, hoewel de tokens nooit uit de verzendende keten werden gehaald, wat betekende dat er effectief nieuwe tokens zonder dekking werden gecreëerd, waardoor 116.500 rsETH werden vrijgegeven van de Ethereum-zijde van de brug. In plaats van de activa op de open markt te verkopen, stortte de aanvaller 89.567 rsETH als onderpand bij Aave en leende ongeveer $190 miljoen aan ETH en gerelateerde activa op Ethereum en Arbitrum, aldus het rapport. Dit liet Aave blootstaan aan onderpand waarvan de dekking mogelijk aanzienlijk is aangetast. Aave Labs gaf aan snel te hebben gehandeld om het risico in te dammen. Binnen enkele uren bevroor het protocol rsETH-markten in al zijn implementaties, zette de lening-waardeverhouding op nul en stopte nieuwe leningen tegen het actief. De uitkomst hangt nu grotendeels af van hoe Kelp het tekort afhandelt. Als verliezen worden verspreid over alle rsETH-houders, zou de token naar schatting 15% depegging ondervinden (wat betekent dat de waarde van de gestakete tokens niet overeenkomt met de waarde van de daadwerkelijke ETH), wat zou resulteren in ongeveer $124 miljoen aan slechte schulden voor Aave. Als verliezen daarentegen worden geïsoleerd tot Layer 2-netwerken, zou de impact veel ernstiger zijn, met slechte schulden die stijgen tot ongeveer $230 miljoen en geconcentreerd zijn op netwerken zoals Arbitrum en Mantle.— Margaux Nijkerk Lees meer.

COINBASE COMMISSIONS PAPER OVER RISICO'S VAN QUANTUMCOMPUTING: Een nieuw rapport in opdracht van Coinbase slaat een voorzichtige, maar dringende, alarmbel: quantum computing zal cryptografie niet morgen breken, maar de industrie kan het zich niet veroorloven te wachten. Het 50 pagina’s tellende document, geschreven door een onafhankelijk adviesorgaan dat vooraanstaande cryptografen en academici omvat zoals Dan Boneh van de Stanford University, Justin Drake van de Ethereum Foundation en Sreeram Kannan van Eigen Labs, concludeert dat hoewel de huidige blockchains veilig blijven, een toekomstige “fault-tolerant quantum computer” die in staat is om veelgebruikte encryptie te doorbreken steeds aannemelijker wordt, en dat voorbereidingen nu moeten beginnen. In de afgelopen maanden zijn de zorgen rond het quantumrisico verder in de mainstream gekomen. Onderzoekers van Google hebben schattingen gepubliceerd waaruit blijkt dat een voldoende geavanceerde quantum computer zou op een dag de cryptografie van Bitcoin kunnen kraken. Grote crypto-ecosystemen zijn al begonnen met het in kaart brengen van hun reacties. De Ethereum Foundation heeft nieuwe typen digitale handtekeningen voorgesteld die ontworpen zijn om veilig te zijn tegen kwantumcomputers, terwijl Solana en anderen experimenteren met kwantumresistente wallet-ontwerpen. Het rapport benadrukt dat de huidige kwantummachines verre van krachtig genoeg zijn om de cryptografie die ten grondslag ligt aan Bitcoin, Ethereum en andere netwerken te kraken. Het doorbreken van standaardversleuteling zou een enorme rekenkracht vereisen, een mijlpaal die nog steeds wordt beschouwd als een grote technische uitdaging. — Margaux Nijkerk Lees meer.

In Ander Nieuws

• Een deel van de Kelp DAO-opbrengst gaat nergens meer heen. De Security Council van Arbitrum bevroren 30.766 ETH ter waarde van ongeveer $71 miljoen op maandagavond, waarbij fondsen die verband houden met de $292 miljoen rsETH-exploit van zaterdag werden verplaatst naar een tussenliggende wallet die alleen toegankelijk is via verdere Arbitrum-governance-acties. De raad gaf aan dat zij handelde op basis van input van de wetshandhaving met betrekking tot de identiteit van de exploiteerder en voerde de bevriezing uit "zonder enige impact op Arbitrum-gebruikers of -applicaties." De overdracht werd voltooid om 23:26 uur ET op 20 april, volgens de verklaring van Arbitrum op X. De gestolen fondsen zijn niet langer onder controle van het adres dat ze oorspronkelijk hield. — Shaurya Malwa Lees meer.
• EenPolymarket-contract of Kelp DAO de verliezen van de $292 miljoen exploit van het weekend zal verspreiden buiten degenen die direct getroffen zijn, wijst op een duidelijk antwoord: waarschijnlijk niet. Wedden geeft een 14% kans dat Kelp de verliezen zal 'socialiseren', ofwel een mechanisme zal implementeren waarbij rsETH-houders op Ethereum, dat niet is getroffen, de pijn delen van gebruikers op andere ketens. De aanvallers hebben leeggetrokkenongeveer 116.500 rsETH van een door LayerZero aangedreven brug die de reserves ondersteunde die het token over meer dan 20 blockchains backten. Dit zorgde ervoor dat delen van het systeem ondergedekt waren, waarbij sommige houders feitelijk tokens bezaten die niet langer volledig werden gedekt door ether (ETH). 'Het socialiseren van de verliezen' zou betekenen dat Kelp het tekort herverdeelt over alle rsETH-houders, inclusief die op het Ethereum-mainnet, in plaats van de verliezen te concentreren bij gebruikers en protocollen die verbonden zijn aan de gecompromitteerde brug. Het meest aangehaalde precedent voor deze aanpak dateert uit 2016, toen Bitfinex verliezen oplegde voor alle gebruikers na een hack van $60 miljoen, waarbij de schade effectief wordt gedeeld om een shutdown te voorkomen. — Sam Reynolds Lees meer.

Regelgeving en Beleid

• April lijkt een verloren zaak te worden voor de crypto Clarity Act, maar een hoorzitting van een U.S. Senaatscommissie ergens in mei zou de cruciale marktstructuurwetgeving in leven kunnen houden, zolang het een definitieve stemming in de gehele Senaat kan bereiken vóór juli, aldus lobbyisten en een medewerker van een wetgever die zich richt op de trage vooruitgang van het marktstructuur wetsvoorstel. De wetgevende agenda raakt dit jaar bijna vol, maar een medewerker van de Senaat vertelde aan CoinDesk dat een mogelijke nieuwe vertraging van een paar weken — waardoor Republikeinse Senator Thom Tillis zijn gesprekken met bankiers over zorgen rondom stablecoin-opbrengsten kan afronden — deze werkzaamheden nog niet voorbij het punt van geen terugkeer duwt. De medewerker zei ook dat eerdere onderhandelingen over bescherming van gedecentraliseerde financiën (DeFi) feitelijk zijn afgerond, waardoor er weinig andere belemmeringen overblijven voor goedkeuring door een commissie. Een van de belangrijkste problemen waar de crypto-industrie mee te maken heeft (als het de hardnekkige hindernis van de bezwaren van de bankensector over stablecoin-beloningen kan overwinnen) is dat de hoorzitting van de Senaatscommissie voor Bankwezen die het wetsvoorstel moet passeren, slechts een eerste stap van vele zou zijn. — Jesse Hamilton Lees meer.
• Tron-oprichter Justin Sun heeft op dinsdag World Liberty Financial, het stablecoin- en crypto-bedrijf dat wordt gesteund door leden van de familie van de Amerikaanse president Donald Trump, aangeklaagd. Sun beschuldigt het project ervan zijn $WLFI-bezitten onrechtvaardig te hebben geblokkeerd, frauduleuze verkeerde voorstellingen te hebben gedaan, en hem te hebben bedreigd en gediskrediteerd. De ingediende rechtszaak, met daarin een passage over Suns steun voor Trump zelf, beweerde dat het leiderschap van World Liberty zich had schuldig gemaakt aan een 'illegaal plan om eigendom in beslag te nemen' in de vorm van Suns tokens, waarvan Sun stelde dat hij deze had gekocht nadat hij in 2024 was benaderd door het World Liberty-team. 'In die beslissende periode voor World Liberty investeerde de heer Sun $45 miljoen om $WLFI-tokens van World Liberty te kopen, niet alleen vanwege de beweringen van het project dat het de adoptie van gedecentraliseerde financiën zou bevorderen – een kwestie waar de heer Sun diep om geeft en waaraan hij een groot deel van zijn leven heeft gewijd – maar ook vanwege de associatie van de Trump-familie met het project,' aldus de aanklacht.— Nikhilesh De & Sam Reynolds Lees meer.

Kalender

• 5-7 mei 2026: Consensus, Miami
• 2-3 juni 2026: Proof of Talk, Parijs
• 8-10 juni 2026: ETHConf, New York
• 29 sept. - 1 okt. 2026: Korea Blockchain Week, Seoul
• 7-8 oktober 2026: Token2049, Singapore
• 3-6 nov. 2026: Devcon, Mumbai
• 15-17 nov. 2026: Solana Breakpoint, Londen