Matapos ang pagka-exploit sa KelpDAO rsETH na may halagang $292 milyon nitong April 19, sunod-sunod ang mga mabilis na protocol-level na security response mula sa BitGo, Polygon, at Katana para mabawasan ang pagmumula ng problema at ma-isolate agad ang posibleng pagkalat.
Nanakaw mula sa Kelp DAO ang 116,500 rsETH galing sa LayerZero-powered cross-chain bridge nila. Nangyari ito dahil sa isang pekeng message na naka-bypass sa Decentralized Verifier Network (DVN) configuration ng bridge.
Gumalaw Agad ang mga Protocol Para Kontrolin ang Sitwasyon
Nagsagawa agad ng precaution ang BitGo, kasama ang BiT Global Trust, at temporary nilang tinanggal ang LayerZero OFT DVN para sa Wrapped Bitcoin (WBTC). Kinumpirma ng kumpanya na ligtas pa rin ang pondo ng users at magbibigay sila ng update kapag may bagong impormasyon.
Sinabi ng Polygon na walang epekto sa chain nila, pati na rin sa Agglayer at sa buong ecosystem. Pinagmalaki rin ng network na nakapag-process na sila ng mahigit $2 trillion na transactions hanggang ngayon.
Pinahinto ng Katana ang OFT path sa Vaultbridge, na naka-depend sa 2/3 DVN setup. Pero yung bridging via Agglayer na gumagamit ng zero-knowledge proofs imbes na proof-of-authority multisigs, ay fully available pa rin at tuloy-tuloy ang operation.
Habang nangyayari ito, ibinahagi ni Cyvers CTO at co-founder Meir Dolev na muntik nang mawalan pa ng dagdag $100 milyon ang KelpDAO – tatlong minuto na lang sana ay nanakaw pa ito. Na-stop agad ang attacker dahil sa mabilis na blacklist na in-implement bago pa maulit ang attack.
Mga Industry Leader, Nanawagan ng Built-in na Rate Limits
Dahil sa nangyaring exploit, muling lumalakas ang panawagan para sa mga built-in na rate limits sa DeFi protocols. Ayon kay Ethena contributor Guy Young, dapat mag-implement ang mga asset issuer ng tinatawag na throttled cross-chain transfers on top ng standard LayerZero OFTs.
“Gumawa kami ng solution on top ng standard OFT para ma-throttle ang cross-chain transfers sa $10 milyon per hour per DVN, bukod pa sa $10 milyon per block na limit sa mismong mint contract. Kung nagawa ito noon, sana na-prevent ang nangyari sa Kelp at Resolv,” sabi niya.
Sa design ng Ethena, kahit ma-compromise ang isang DVN, nasa $10 milyon lang kada chain kada oras ang pinakamatinding damage na pwede mangyari. Sabi pa ni Young, kahit medyo hassle ito para sa users, mas okay na yun kaysa malugi nang todo.
Si Keone Hon, CEO at co-founder ng Monad, nagpropose din na dapat maglagay ng “smart caps” ang mga pooled lending protocol — ibig sabihin, may limit kung gaano kabilis pwede lumaki ang collateral supply.
Sinet din niyang example ang Resolv hack noong March, kung saan infinite ang na-mint ng attacker, pero $24 milyon lang ang nakuha nila dahil maliit lang ang mga exit pathway.
Ayon kay Hon, dapat iwasan ang sobrang taas na supply cap dahil posibleng panganib ito imbes na advantage. Kung slightly above lang sa current use ang supply limit, tapos adjustable pa within hours – sayang, sana nakaligtas pa ng $200 milyon ang mga nag-deposit ng rsETH ayon sa estimate niya.
Ang KelpDAO exploit na ito ang pinakamalaking DeFi hack ngayong 2026. Depende sa kung mag-a-adopt ng rate-limiting measures ang ibang protocols, dito natin malalaman kung gano kalaki pa ang mga susunod na posibleng mangyari.
