Con la explotación de Kelp ayer, quería proporcionar un resumen rápido para quienes puedan estar confundidos o simplemente busquen compilar lo que sabemos. En primer lugar, mi empleador no cumpliría con su deber si no comenzara con esto: MegaETH no parece tener exposición directa al incidente; solo pude localizar aproximadamente $100 de rsETH en toda la cadena. Resumen de los eventos: Más temprano ayer, un mensaje inválido que supuestamente se originó en una L2 más pequeña fue aceptado por el DVN de Kelp DAO para su LayerZero OFT. Como recordatorio, L0 tiene una variedad de configuraciones de seguridad que pueden ser tan sólidas o incluso superiores a las alternativas, pero en la práctica muchos equipos eligen una carga más baja. El contrato controlado por Kelp DAO aceptó la primera transacción inválida, pero bloqueó una transacción posterior para otra tranche de rsETH. Muchos equipos (incluyendo a Ethena, que opera USDM) han suspendido su puente OFT mientras ocurre una investigación, pero por ahora esto me parece que fue una vulnerabilidad en el lado de Kelp DAO, y los supuestos de seguridad no requerían una vulnerabilidad adicional para ejecutar acciones maliciosas. rsETH es lock-and-mint en mainnet. Esto significa que cuando rsETH de L0 viaja entre L2s, se quema y se acuña, pero cuando Ethereum es uno de los extremos del corredor, existe un token rsETH que se (des)bloquea. Por ejemplo, rsETH que viaja de Optimism a Mega quema 1 rsETH en Optimism por cada 1 rsETH acuñado en Mega. Sin embargo, para rsETH que viaja de Optimism a Ethereum, se quema 1 rsETH en Optimism y se desbloquea 1 rsETH desde la caja de depósito en mainnet. En teoría, debería haber 1 rsETH en la caja de depósito de mainnet por cada rsETH fuera de Ethereum. Eso ya no es así. Entre el 17 y el 18% de la oferta de rsETH fue desbloqueado erróneamente por el atacante. Ese rsETH luego fue intercambiado en DEXes y utilizado como garantía en protocolos de préstamos, incluyendo Aave, Compound y Euler. Todo esto se realizó en Ethereum y Arbitrum, según mi conocimiento. El conjunto de problemas: Actualmente veo tres problemas principales e interconectados. Primero, si rsETH ahora está aproximadamente un 17,5% subcolateralizado debido a la oferta inflada (L1 + L2). Kelp parece tener dos caminos que puede tomar. El primero es socializar la dilución entre todos los titulares de rsETH e intentar recuperar lo que pueda mediante la cooperación con equipos DeFi y autoridades legales. El segundo es mantener intacta la oferta en mainnet, ya que todos los rsETH en mainnet son, en teoría, los activos reales, y el número de rsETH en mainnet no cambió. Esto equivaldría a trasladar todas las pérdidas a los titulares de rsETH en L2. Espero que muchos abogados ya estén siendo activados, ya que no encuentro ninguna clara jerarquía o diferenciación en la documentación de Kelp sobre este punto. Segundo, si los protocolos de préstamos ahora tienen acumuladas grandes cantidades de deuda morosa. Quiero ser completamente sincero: mis estimaciones iniciales superan los umbrales de protección que la mayoría de estos protocolos tienen implementados. Por ejemplo, si todos los titulares de rsETH son diluidos un 17%, solo Aave en mainnet tendría aproximadamente 2 veces más deuda morosa de la que puede cubrir Umbrella, lo que representa más de $50 millones de cobertura. Complicando aún más las cosas, si las pérdidas de rsETH se socializan únicamente entre los titulares de L2, serían mucho mayores y aún podrían hacer insolventes algunas implementaciones en Arbitrum. Tomará algún tiempo que cada protocolo de préstamo determine qué escenario les conviene más (mi suposición es que Compound y Aave preferirían limitarlo a L2s, mientras que Euler, Fluid y otros que compiten más en mercados fronterizos desearían un recorte universal), y luego abogar por esa solución ante Kelp. Tercero, mientras todo esto ocurre, los mercados de WETH y stablecoins están en gran medida ilíquidos. Esto genera un gran costo negativo para algunas operaciones altamente apalancadas. Hasta que estas operaciones puedan deshacerse, existe el riesgo de que algunas posiciones caigan en liquidación en un momento en que algunos de estos mercados no serán especialmente líquidos.