Charles Hoskinson, der Gründer von Cardano, wies in seinem neuesten Livestream darauf hin, dass der Hackerangriff auf KelpDAO mit etwa 292 Millionen US-Dollar nicht nur ein weiterer Vorfall bei einer Cross-Chain-Bridge ist, sondern auch das Risiko aufzeigt, dass eine einzelne Schwachstelle in der Ethereum-Ökologie nach dem Stapeln von Restaking, Cross-Chain-Nachrichtenübermittlung und Kreditprotokollen zu einer systemischen Ansteckung führen kann. Er ist der Ansicht, dass der Angriff am 18. April die verwundbarsten Teile des modernen DeFi offenbart hat – nicht die Smart Contracts auf Anwendungsebene, sondern die Validierungsschicht und die gegenseitigen Abhängigkeiten zwischen den Protokollen.
Hoskinson betonte, dass dieser Angriff, bei dem etwa 116.500 rsETH aus dem Ethereum-Verwahrungsvertrag von KelpDAO gestohlen wurden, die Branche dazu veranlassen sollte, die Vertrauensannahmen von Cross-Chain-Bridges, das Design von Validatoren und die Ausbreitungsgeschwindigkeit von schlechten Sicherheiten auf Kreditmärkten neu zu bewerten. Er wies besonders darauf hin, dass der Kern des Vorfalls darin liegt, dass gefälschte Cross-Chain-Nachrichten fälschlicherweise als legitim validiert wurden, was zur Freigabe von Geldern auf Ethereum führte – ein neuer Angriffsmodus.
Er kritisierte insbesondere die Eins-zu-eins-Validator-Konfiguration des betroffenen Systems und vertrat die Ansicht, dass das beste Modell ein Multi-Validator-Modell (z. B. fünf von drei) sein sollte. In einem komplexen geschichteten System, das bereits Staking-Wrapping, Restaking-Protokolle, Cross-Chain-Bridges und Kreditplattformen umfasst, stellt ein einzelner aktiver DVN einen inakzeptablen Single Point of Failure dar. Hoskinson erklärte, dass das Problem in der Validierungslogik und nicht in der Anwendungslogik liege, da die eigenen Verträge von KelpDAO auditiert und ordnungsgemäß funktioniert hätten.
Die nachfolgenden Auswirkungen des Vorfalls waren besonders schwerwiegend. Der Angreifer verkaufte die gestohlene Beute nicht auf dezentralen Börsen, sondern nutzte die gestohlenen rsETH als Sicherheit, um auf Kreditmärkten mehr liquide Mittel zu leihen, wodurch die Ausnutzung der Schwachstelle zu einem Bilanzproblem für andere Protokolle wurde. Hoskinson bezeichnete diese Dynamik als das wirklich Neue an dem Vorfall: Es handelte sich nicht nur um einen Cross-Chain-Bridge-Hack, sondern breitete sich auf Kreditmärkte aus, führte zu einer Ansteckung durch faulige Kredite und löste schließlich einen Run aus – der 290-Millionen-Dollar-Hack führte dazu, dass 13 Milliarden US-Dollar TVL innerhalb kürzester Zeit abgezogen wurden.
Laut den von ihm zitierten öffentlichen Berichten waren mindestens neun Protokolle direkt betroffen, wobei die Verluste von Aave allein auf 6,6 bis 8,45 Milliarden US-Dollar geschätzt werden. Innerhalb von 24 Stunden nach dem Angriff schwankte der Preis von rsETH heftig zwischen 1600 und 2500 US-Dollar. Hoskinson erwähnte auch, dass die nordkoreanische Hacker-Gruppe Lazarus möglicherweise involviert war, räumte jedoch ein, dass die Zuschreibung noch nicht von unabhängigen Forensik-Unternehmen bestätigt wurde. Zum Zeitpunkt der Drucklegung notierte Cardano (ADA) bei 0,2504 US-Dollar.