Kelp foi roubado, há uma pilha de termos técnicos, mas em linguagem comum são só algumas frases.

Como foi roubado?
$RAVE ‌
Dois nós RPC geridos pela LayerZero foram hackeados, o terceiro foi derrubado por um ataque DDoS. Kelp usa a configuração padrão 1/1 DVN recomendada na documentação da LayerZero — ou seja, "autenticação por assinatura única", uma chave para abrir a porta. Os atacantes falsificaram mensagens de cross-chain, cunharam 116.000 rsETH do nada, avaliado em 292 milhões de dólares. Kelp diz que a culpa é da infraestrutura da LayerZero, a LayerZero diz que quem não tem multi-DVN não merece, banteg diz que todos parem de fingir, que a confiança interna foi quebrada.
$AAVE ‌
Quanto a dívida da Aave?

Os atacantes colocaram o rsETH roubado como garantia na Aave, emprestando 82.000 WETH. A Aave congelou o mercado de rsETH, mas a dívida já existia. LlamaRisk fez duas contas:

· Distribuição global: dívida de cerca de 123,7 milhões de dólares
· L2 assumindo sozinho: dívida de cerca de 230,1 milhões de dólares
$BTC ‌
0xngmi calculou uma terceira hipótese: abandonar os detentores de rsETH no L2, pior cenário, dívida de 341 milhões de dólares, o Umbrella não cobre, a Aave terá que arcar sozinha.

O tesouro da Aave tem cerca de 181 milhões de dólares em ativos, cobrir um buraco de mais de 200 milhões é difícil.

Reação em cadeia

Lido parou as depósitos de earnETH, Ethena prorrogou a suspensão da ponte cross-chain, mais de 15 protocolos pararam preventivamente a ponte LayerZero OFT.

Resumindo

Confiança mútua entre terceiros, ninguém achava que daria problema. Os detentores de rsETH achavam que a Kelp tinha controle de risco, a Kelp achava que a configuração padrão da LayerZero era segura, a LayerZero achava que os projetos fariam multi-assinatura. Resultado: 292 milhões sumiram, a dívida variou de 120 milhões a 340 milhões, e ainda não se sabe de onde vai sair o dinheiro para tapar o buraco. A "confiança descentralizada" do DeFi — confiança dividida em muitas partes, cada uma dizendo "não é comigo".