Charles Hoskinson, fondateur de Cardano, a souligné lors d'une récente diffusion en direct que l'incident de piratage d'environ 292 millions de dollars de KelpDAO n'est pas seulement un autre accident de pont inter-chaînes, mais révèle également le risque de contagion systémique qu'une seule vulnérabilité peut déclencher dans l'écosystème Ethereum après l'empilement de protocoles de restaking, de transmission de messages inter-chaînes et de prêt. Il estime que l'attaque du 18 avril a exposé la partie la plus fragile du DeFi moderne - non pas les contrats intelligents au niveau applicatif, mais la couche de validation et les interdépendances entre les protocoles.
Hoskinson a souligné que cette attaque, qui a impliqué le vol d'environ 116 500 rsETH du contrat de dépôt Ethereum de KelpDAO, devrait inciter l'industrie à reconsidérer les hypothèses de confiance des ponts inter-chaînes, la conception des validateurs et la vitesse de propagation des collatéraux défectueux sur les marchés de prêt. Il a particulièrement souligné que le cœur de l'incident réside dans le fait que des messages inter-chaînes falsifiés ont été incorrectement validés comme légitimes, entraînant la libération des fonds sur Ethereum, ce qui constitue un nouveau mode d'attaque.
Il a vivement critiqué la configuration de validateurs un-à-un utilisée par les systèmes impliqués, estimant que la meilleure pratique devrait être un modèle multi-validateurs (comme trois sur cinq). Dans un système complexe à plusieurs couches incluant déjà le staking encapsulé, les protocoles de restaking, les ponts inter-chaînes et les plateformes de prêt, un seul DVN actif constitue un point de défaillance unique inacceptable. Hoskinson a déclaré que le problème réside dans la logique de validation et non dans la logique applicative, les propres contrats de KelpDAO ayant été audités et fonctionnant normalement.
Les impacts ultérieurs de l'incident sont particulièrement graves. L'attaquant n'a pas vendu le butin sur des échanges décentralisés, mais a utilisé les rsETH volés comme collatéral pour emprunter davantage d'actifs liquides sur les marchés de prêt, transformant l'exploitation de la vulnérabilité en un problème de bilan pour d'autres protocoles. Hoskinson a qualifié cette dynamique de véritable nouveauté de l'événement : il ne s'agit pas seulement d'une attaque de piratage de pont inter-chaînes, mais elle s'est propagée aux marchés de prêt et a généré une contagion de créances douteuses, déclenchant finalement une ruée - l'attaque de 290 millions de dollars a entraîné le retrait de 13 milliards de dollars de TVL en très peu de temps.
Selon les rapports publics qu'il a cités, au moins neuf protocoles ont été directement affectés, avec des pertes estimées pour Aave seulement entre 6,6 et 8,45 milliards de dollars. Dans les 24 heures suivant l'attaque, le prix du rsETH a fluctué violemment entre 1600 et 2500 dollars. Hoskinson a également mentionné la possible implication du groupe de pirates nord-coréen Lazarus, mais a reconnu que l'attribution n'a pas encore été confirmée par des sociétés indépendantes de criminalistique. Au moment de la rédaction, Cardano (ADA) cote à 0,2504 dollar.