%2520(1)%2520(1)%2520(1).png)
Twee significante exploits, binnen drie weken na elkaar, hebben opnieuw de kwetsbaarheid van DeFi-infrastructuur blootgelegd. Op 2 april werd Solana-gebaseerd perpetuals-protocol Drift leeggehaald voor ongeveer $286 miljoen in een vermoedelijke aan DPRK (Democratic People's Republic of Korea)-gelinkte aanval, volgens blockchain-analysebedrijf Elliptic. De aanval betrof een social engineering-truc waarbij aanvallers vertrouwen opbouwden met het Drift-team. Aanvallers wisten ten minste twee van de vijf Security Council-leden van Drift te misleiden om speciale transacties vooraf te ondertekenen met behulp van Solana's durable nonces-functie, waardoor zij in feite een blanco cheque ondertekenden die weken of maanden geldig bleef en later kon worden uitgevoerd zonder dat de ondertekenaars het kwaadaardige doel kenden.
Op zaterdag 18 april haalde een aanvaller 116.500 rsETH leeg, ongeveer $292 miljoen, uit Kelp DAO’s door LayerZero aangedreven cross-chain bridge door misbruik te maken van een zwakte in Kelps cross-chain messaging-structuur, waardoor de vrijgave van tokens werd geactiveerd naar een aanvallersadres dat enkele uren eerder was gefinancierd via Tornado Cash.
Kelps nood-multisig voerde pauseAll uit ongeveer 46 minuten na de initiële leegloop, waarmee twee vervolgpogingen werden geblokkeerd die bijna $100 miljoen extra verlies zouden hebben veroorzaakt. Aave reageerde door de rsETH-markten op V3 en V4 te bevriezen en potentieel slechte schulden te signaleren op posities die na de exploit waren geopend. De AAVE-token daalde met ongeveer 21%, terwijl de TVL van het protocol sinds het incident met ongeveer $9 miljard is afgenomen. Gezamenlijk zijn de twee incidenten goed voor ongeveer $578 miljoen aan gestolen activa binnen een periode van 20 dagen.
Contagion is een actueel risico, geen historisch risico
Voor instellingen die DeFi willen beoordelen als een geloofwaardig rendementskanaal, bevestigen deze gebeurtenissen een structurele zorg: contagion is nog steeds een actueel risico, geen historisch risico. Het Kelp-incident is bijzonder veelzeggend. Een bridge-exploit bleef niet beperkt tot het uitgevende protocol; het verspreidde zich naar Aave, waardoor slechte schulden ontstonden tegenover een Liquid Restaking Token die een mainstream onderpandactief was geworden. Dit is precies het transmissiemechanismerisico dat risicocommissies signaleren bij het beoordelen van DeFi-mandaten: een enkel faalpunt dat zich verspreidt over ogenschijnlijk onafhankelijke protocollen.
De Drift-zaak voegt een tweede institutionele rode vlag toe. Een aan een staat gelieerde tegenstander die op grote schaal opereert, blijft DeFi-platforms aanvallen. Voor compliance- en AML-functies versterkt dit de opvatting dat on-chain perpetual markten een verhoogd tegenpartij- en sanctierisicoprofiel hebben in vergelijking met traditionele handelsplatforms. Geen van beide incidenten betrof een obscuur protocol: Drift behoort tot de toonaangevende perp DEXs op Solana, en rsETH is ingezet op meer dan 20 netwerken. De boodschap is consistent: DeFi’s security debt stapelt zich op met elke nieuwe laag van composability, en bestaande verzekeringen, audits en multisig-controles hebben het gat nog niet gedicht.
Op de vraag of er een risico is op een cascaderend effect in de komende dagen of weken, zei Paul Frambot, CEO van Morpho, tegen The Big Whale: “Het kernprobleem dat na de Kelp-exploit onopgelost blijft, is waar het verlies uiteindelijk zal worden gerealiseerd—of het wordt opgevangen door mainnet Kelp-houders (en dus Aave op Ethereum raakt) of wordt opgelegd aan de overbrugde Layer 2-gebruikers die ervoor kozen te bridgen, een buitengewoon harde uitkomst die posities zou wegvagen en Aave-implementaties op Optimism, Mantle en Arbitrum zou blokkeren, wat een onoplosbare juridische strijd zou ontketenen met advocaten aan beide zijden.”
>> DeFi: Apollo doet strategische investering in Morpho
The Big Whale’s visie
Het institutionele adoptienarratief voor DeFi is gevorderd op het gebied van regelgeving, custody en getokeniseerd onderpand. Het is niet gevorderd op het gebied van systeemrisico. Zolang bridges, oracles en restaking-lagen kwetsbaar blijven voor drains van negen cijfers in één transactie, zal de activaklasse moeite hebben om van tactische blootstelling naar kernallocatie te evolueren. Het pause-and-patch-responsmodel, opnieuw zichtbaar dit weekend bij Kelp en Aave, is operationeel bekwaam maar strategisch onvoldoende voor balansen die geen binaire uitkomsten kunnen verdragen.
De huidige architectuur vraagt instellingen nog steeds om risico’s te onderschrijven die zij structureel niet kunnen waarderen: protocolniveau smart contract-risico, cross-chain messaging-risico en geopolitieke dreigingsactoren. Totdat de sector gestandaardiseerde bridge-beveiliging, afdwingbare circuit breakers en geloofwaardige verzekeringscapaciteit op schaal levert, zullen de meeste TradFi-desks DeFi blijven benaderen via beperkte, afgeschermde mandaten in plaats van volledige portefeuilleintegratie.
Drift en Kelp DAO verloren $578M in 20 dagen. De nasleep trof Aave en wakkerde het debat over systeemrisico in DeFi voor institutionele allocators opnieuw aan.
%201.png)
%201.png)
%201.png)
%201.png)
%201.png)
