Somma sottratta: 290 milioni di dollari; tre parti si rifiutano di assumersi la responsabilità: chi dovrebbe pagare il conto per la risoluzione dell'incidente KelpDAO?

Titolo originale: "Un trilemma con un buco di 290 milioni di dollari: Aave, L0, Kelp – Chi pagherà il conto?
Autore originale: Azuma, Odaily Planet Daily

Sono passate più di 30 ore da quando il contratto di bridging rsETH di Kelp DAO è stato vittima di un attacco. Le parti coinvolte (LayerZero, Kelp DAO, Aave) hanno rilasciato una dichiarazione dopo l'altra (per lo più scaricandosi la responsabilità a vicenda e sottolineando la propria innocenza), ma non hanno ancora fornito una soluzione definitiva.

Pertanto, il presente articolo si propone di analizzare le posizioni e gli orientamenti attuali delle parti coinvolte, di approfondire le ragioni del ritardo nella risoluzione della questione e di formulare ipotesi su come la vicenda potrebbe alla fine risolversi.

Nota dell'editore: Per ulteriori informazioni, consultare l'articolo "Nessun bug nel codice, eppure è stato hackerato: qual è la storia dietro il più grande attacco hacker del 2026, avvenuto tramite una vulnerabilità nella configurazione DVN?".

Chi dovrebbe assumersi la responsabilità?

Per prima cosa, parliamo della questione della responsabilità.

Secondo i dettagli resi noti da LayerZero, la causa diretta dell'incidente è piuttosto chiara. La rete decentralizzata di validatori (DVN) gestita da LayerZero si basava su un'infrastruttura RPC a valle che era stata compromessa (si veda l'analisi del fondatore di SlowMist, Cosine, riportata di seguito) e, poiché il contratto di bridging di Kelp DAO utilizzava una DVN 1/1, all'autore dell'attacco è bastato eseguire una verifica su un messaggio contraffatto per portare a termine l'attacco.

LayerZero ritiene che Kelp DAO, che ha utilizzato la configurazione DVN 1/1, sia il principale responsabile di questo incidente. Non c'è dubbio: un "punto di fallimento unico" così evidente è assurdo.

Tuttavia, in quanto protocollo cross-chain di base, anche LayerZero dovrebbe assumersi una parte di responsabilità. LayerZero consente a ciascuna applicazione di livello superiore di configurare in modo indipendente il numero e la soglia dei DVN. Sebbene la scelta del DVN 1/1 sia stata una decisione autonoma di Kelp DAO, in qualità di progettista dell'architettura LayerZero avrebbe dovuto evitare impostazioni così palesemente errate.

Infine, esistono protocolli di prestito come Aave (in questo caso ci concentreremo su Aave). Sebbene anche loro ne siano indirettamente coinvolti, oggettivamente parlando, Aave, nel perseguire la propria espansione, ha concesso una capacità di prestito eccessiva ad asset LRT come rsETH, il che ha contribuito direttamente alla sua attuale situazione di passività. Inoltre, vale la pena ricordare che l'ex team di gestione dei rischi di Aave, BGD Labs (ora indipendente da Aave), aveva esplicitamente segnalato il problema relativo al DVN di Kelp DAO nel gennaio dello scorso anno. Sebbene Kelp avesse accettato il consiglio in quel momento, è evidente che non apportò alcuna modifica... Aave non ha continuato a vigilare e ad adottare le misure del caso, causando così la propria rovina.

La responsabilità è quindi molto chiara: Kelp DAO è il soggetto principale responsabile, LayerZero è il soggetto secondario responsabile e anche Aave ha una certa responsabilità indiretta.

La scomoda realtà

La realtà è sempre più complessa delle aspettative teoriche. Il problema più grave è che il team di Kelp DAO, che dovrebbe assumersi la responsabilità principale, non è in grado di reperire una somma così ingente per coprire il deficit... Che si tratti di detrarre direttamente le perdite da tutti i possessori di rsETH o di tradire i possessori di token Layer 2, si tratta essenzialmente di un vicolo cieco.

Allora, chi ha i soldi? Il primo è LayerZero, che a causa di questo incidente ha subito un grave danno d'immagine ed è stato temporaneamente disattivato da numerose istituzioni e protocolli quali Bitgo, Tron, Ethena, Curve ed ether.fi, con il rischio di una potenziale perdita di una notevole quantità di TVL cross-chain; il secondo è Aave, che deve affrontare un enorme rischio di crediti inesigibili e sta assistendo a un deflusso di TVL pari a miliardi di dollari.

Pertanto, è ormai evidente come tutte le parti si rimpallino le responsabilità. Il soggetto principale responsabile, Kelp DAO, è praticamente paralizzato e incapace di gestire il successivo risarcimento. Deve discutere con i due "grandi fratelli" su come procedere; nel frattempo, sia la parte secondariamente responsabile, dotata della capacità di risarcimento, sia la parte indirettamente responsabile, ovvero LayerZero e Aave, hanno entrambe affermato che i loro protocolli non presentano alcuna vulnerabilità e hanno chiarito di non essere disposte ad assumersi così facilmente una responsabilità di tale portata. Quindi la situazione attuale sembra essere un po’ in una fase di stallo.

Ma non credo che questa situazione durerà a lungo, perché entrambi i protocolli hanno bisogno di risolvere la questione il prima possibile: LayerZero non può rinunciare alla sua mappa dell'ecosistema cross-chain OFT, e Aave non può ignorare il continuo deflusso di fondi.

Soluzione del gioco a più giocatori

Questa mattina, Aave ha rilasciato una dichiarazione aggiornata su questo incidente, nella quale sottolinea che «rsETH sulla mainnet di Ethereum è pienamente supportato».

Come va interpretata questa affermazione? Dobbiamo iniziare dalla progettazione di rsETH.

rsETH è essenzialmente un token che rappresenta un certificato di re-staking garantito da liquidità emesso da Kelp DAO; ogni rsETH è sostenuto da un ETH nel sistema di garanzia e re-staking sottostante. Il percorso è "ETH - Lido - EigenLayer - Kelp DAO - rsETH".

rsETH sulla mainnet è il token Proof-of-Stake originale emesso da Kelp DAO su Ethereum. Per espandersi nell'ecosistema Layer 2, Kelp DAO utilizzerà il contratto di bridging cross-chain di LayerZero (proprio il sistema coinvolto in questo incidente) per mappare l'rsETH della mainnet su varie soluzioni Layer 2. Per ogni rsETH coniato su Layer 2, una quantità equivalente di rsETH della mainnet sarà trattenuta nel contratto di custodia di Kelp DAO e verrà sbloccata solo al momento del trasferimento cross-chain verso la mainnet.

Ma torniamo all'incidente in sé. Come accennato in precedenza, il motivo del furto è stato che l'hacker, ingannando DVN, ha falsificato un messaggio cross-chain, causando il "rilascio errato" da parte del contratto di bridging di 116.500 rsETH — si noti che non si è trattato della creazione ex nihilo di nuovi token, bensì del rilascio non autorizzato dei token proof-of-stake originali provenienti dalla mainnet.

Il problema sta proprio qui: questi token circolavano già sul Layer 2 grazie alla mappatura, mentre i token della mainnet erano bloccati. Tuttavia, dopo l'attacco, l'hacker li ha depositati in protocolli come Aave, ha ottenuto prestiti a fronte del più liquido WETH ed è riuscito a fuggire; un aspetto da sottolineare è che il rsETH depositato è autentico, motivo per cui Aave supporta la collateralizzazione e i prestiti a fronte di tale token.

A questo punto, rileggere la dichiarazione di Aave diventa interessante. La frase «La mainnet di rsETH gode di un ampio sostegno su Ethereum» equivale sostanzialmente a dire: «Queste monete sono tutte autentiche, Kelp DAO, dovresti aiutarci a riscattare ETH in cambio di questi token (contratto sospeso, riscatto attualmente impossibile)… Per quanto riguarda gli rsETH mappati su Layer 2 che hanno perso il sostegno della mainnet, beh, quello non è un mio problema!»

Questa sembra essere la posizione di Aave. Nonostante si sottolinei il valore dell'rsETH sulla mainnet, trascurando così il valore dell'rsETH mappato su Layer 2, e dato che la stessa Aave detiene una posizione debitoria significativa in rsETH nei propri prodotti di prestito su Layer 2 (del valore di circa 359 milioni di dollari in tempo reale), ciò potrebbe comportare la formazione di crediti inesigibili. Tuttavia, optando per il male minore, Aave ha probabilmente valutato le potenziali ripercussioni di entrambe le opzioni e ha concluso che mantenere il proprio prodotto principale sulla mainnet è nella sua migliore interesse.

Tuttavia, questa è solo la prospettiva di Aave. La risoluzione definitiva della questione dipenderà dal raggiungimento di un accordo con LayerZero e Kelp DAO.

Sebbene quest'ultimo non abbia ancora rilasciato ulteriori dichiarazioni, personalmente ritengo improbabile che LayerZero accetti questa proposta, poiché rinunciare al token ancorato di Layer 2 minaccerebbe direttamente la reputazione di LayerZero nel settore cross-chain.

Possibile soluzione

Prima o poi il problema dovrà essere risolto. Negli ultimi giorni, anche diversi esperti sui social media hanno fornito suggerimenti ad Aave, LayerZero e Kelp DAO.

Il fondatore di DefiLlama, 0xngmi, ha individuato tre possibili soluzioni, ma ha anche evidenziato gravi difetti in tutte e tre. La prima opzione prevede che tutti i possessori di rsETH subiscano collettivamente una svalutazione del 18,5% (percentuale dei token persi rispetto all'offerta totale), con Kelp DAO che si fa carico della perdita, mentre Aave deve affrontare circa 216 milioni di dollari di insolvenze sulla mainnet; il secondo percorso consiste nel non considerare il valore di tutti gli rsETH ancorati al Layer 2, consentendo al prodotto mainnet di Aave di rimanere intatto, ma la versione Layer 2 rischia di crollare e la reputazione di Kelp DAO ne risentirà; la terza opzione è rimborsare integralmente i possessori di rsETH precedenti all'attacco sulla base di uno snapshot, mentre gli acquirenti o i cessionari successivi si farebbero carico delle perdite, ma a causa dei significativi movimenti di fondi successivi all'attacco, ciò è quasi impossibile da attuare nella realtà.

Il fondatore di OneKey, Yishi, ha dichiarato: "La soluzione migliore in questo momento sarebbe negoziare con l'hacker, offrirgli una ricompensa pari al 10-15%, recuperare la maggior parte dei dati e così tutti sarebbero contenti. Se la negoziazione fallisse, il fondo dell'ecosistema di LayerZero potrebbe coprire la maggior parte dei costi, poiché è il più solido finanziariamente e ha l'interesse più duraturo, consentendo così di preservare l'ecosistema OFT. Kelp DAO è quella che se la passa peggio: o si opta per una compensazione sotto forma di token più entrate future, oppure si vende semplicemente l'intero progetto a LayerZero o Bitmine. "Umbrella di Aave e stkAAVE costituiscono l'ultima rete di sicurezza, ma i depositanti di WETH non devono assolutamente subire alcuna svalutazione; in caso contrario, Morpho, Spark, Fluid ed Euler subiranno tutti un adeguamento dei prezzi, il track LRT ne risentirà e l'intero settore DeFi subirà un regresso di tre anni."

In ogni caso, tutte le parti continueranno sicuramente a discutere ancora per un po', dato che sono in gioco miliardi di dollari e nessuno vuole essere il grande perdente.

Per quanto riguarda il tempo necessario per trovare una soluzione, come già accennato, entrambi i colossi non intendono rimandare troppo a lungo. LayerZero è attualmente oggetto di una pausa forzata da parte delle principali istituzioni e protocolli con cui collabora, e un ulteriore ritardo porterà senza dubbio questi partner a cambiare percorso cross-chain; anche la situazione di Aave non è rosea, con i tassi di utilizzo di diversi mercati monetari già al 100%, lasciando i depositanti in una situazione di "intrappolamento"...Se l'ETH dovesse crollare improvvisamente, Aave potrebbe probabilmente subire un aumento dei casi di insolvenza a causa dell'incapacità di liquidare in modo efficace (come avviene attualmente), portando in ultima analisi a un effetto valanga di problemi in peggioramento: una volta raggiunta questa fase, le fondamenta del settore potrebbero subire un duro colpo, cosa che chiaramente nessuno vorrebbe vedere.

Link all'articolo originale