O fundador da Cardano, Charles Hoskinson, apontou em uma transmissão ao vivo recente que o incidente de hack de aproximadamente US$ 292 milhões do KelpDAO não é apenas mais um caso de ponte cross-chain, mas também revela o risco de que uma única vulnerabilidade possa desencadear contágio sistêmico após a sobreposição de protocolos de restaking, transmissão de mensagens cross-chain e empréstimos no ecossistema Ethereum. Ele acredita que o ataque de 18 de abril expôs a parte mais frágil do DeFi moderno — não os contratos inteligentes na camada de aplicação, mas a camada de verificação e as interdependências entre protocolos.
Hoskinson enfatizou que este ataque, que envolveu o roubo de aproximadamente 116.500 rsETH do contrato de custódia Ethereum do KelpDAO, deve levar o setor a reavaliar as suposições de confiança das pontes cross-chain, o design dos verificadores e a velocidade de propagação de garantias ruins nos mercados de empréstimo. Ele destacou especialmente que o cerne do incidente está nas mensagens cross-chain falsificadas que foram erroneamente validadas como legítimas, resultando na liberação de fundos na Ethereum, o que constitui um novo padrão de ataque.
Ele criticou fortemente a configuração de verificador um-para-um adotada pelo sistema envolvido, argumentando que a melhor prática deveria ser um modelo de múltiplos verificadores (como três em cinco). Em um sistema complexo e em camadas que já inclui staking encapsulado, protocolos de restaking, pontes cross-chain e plataformas de empréstimo, um único DVN ativo constitui um ponto único de falha inaceitável. Hoskinson afirmou que o problema está na lógica de verificação, não na lógica da aplicação, e que os próprios contratos do KelpDAO foram auditados e funcionavam normalmente.
O impacto subsequente do incidente foi particularmente grave. O atacante não vendeu os bens roubados em exchanges descentralizadas, mas usou os rsETH roubados como garantia para tomar mais ativos líquidos emprestados no mercado de empréstimos, transformando a exploração da vulnerabilidade em um problema de balanço patrimonial para outros protocolos. Hoskinson descreveu essa dinâmica como a verdadeira novidade do evento: não foi apenas um hack de ponte cross-chain, mas também se espalhou para o mercado de empréstimos, gerando contágio de dívidas ruins e, finalmente, uma corrida bancária — um ataque de US$ 290 milhões levou a uma retirada de US$ 13 bilhões em TVL em um período extremamente curto.
De acordo com relatórios públicos citados por ele, pelo menos nove protocolos foram diretamente afetados, com perdas estimadas apenas para a Aave entre US$ 6,6 bilhões e US$ 8,45 bilhões. Nas 24 horas após o ataque, o preço do rsETH flutuou violentamente entre US$ 1.600 e US$ 2.500. Hoskinson também mencionou que o grupo de hackers norte-coreano Lazarus pode estar envolvido, mas reconheceu que a atribuição ainda não foi confirmada por empresas forenses independentes. No momento da publicação, o Cardano (ADA) era cotado a US$ 0,2504.