A cura di Matthew Fisher, CEO di Katana
"La DeFi non è morta. La DeFi è unita." Questo è il grido di battaglia emerso dopo la risoluzione, il 19 aprile, della vulnerabilità Kelp, che ha causato una perdita di 292 milioni di dollari e ha riportato l'attenzione sul nemico più acerrimo della DeFi: Lazarus Group, i cui ricavi stimati per il 2025, pari a 1,5 miliardi di dollari, rappresentano una piccola percentuale del PIL della Corea del Nord.
Le aziende di intelligenza artificiale hanno dovuto imparare che non stavano semplicemente creando software, ma sistemi con conseguenze concrete nel mondo reale. La pressione normativa e reputazionale che ne è seguita ha cambiato il modo di operare anche delle migliori. La DeFi sta affrontando la stessa resa dei conti, più rapidamente e senza una funzione di coercizione normativa. La spinta deve partire dai fondatori. Oltre ai fondi di recupero, dobbiamo unirci su requisiti di sicurezza di base che consentano alle istituzioni di assumersi il rischio di interagire sulla blockchain.
La componibilità della DeFi è al tempo stesso una benedizione e una maledizione. Che si tratti di falle nella sicurezza tecnica o di attacchi alla governance, a volte basta il malfunzionamento di un singolo componente dell'infrastruttura per innescare stress test di liquidità a cascata nell'intero ecosistema. La trasparenza della DeFi rende pubblici questi eventi e la definitività delle transazioni li rende quasi istantanei. I mercati del credito della finanza tradizionale (TradFi), al contrario, si risolvono nell'arco di mesi, con rinegoziazioni dei covenant e ricorsi legali off-chain gestiti privatamente.
Entro domenica 19 aprile, si diffusero annunci pubblici secondo cui KelpDAO aveva perso 292 milioni di dollari a causa di un attacco al suo bridge LayerZero. I mercati dei prestiti, da Aave a Spark a Fluid, erano bloccati e l'intero settore si poneva la stessa domanda: cosa era rimasto in piedi?
Per trovare una risposta a questa domanda, dobbiamo ripercorrere quelle 72 ore viste dall'interno di Katana.
La chiamata facile
Alle 15:30 EST di sabato, la maggior parte del team stava monitorando la situazione. E alle 19:00 EST di sabato, il nostro team di sicurezza aveva sospeso le integrazioni di LayerZero in tutta la nostra infrastruttura per eccesso di cautela. Non utilizziamo reti DVN 1/N nelle nostre operazioni LZ, ma abbiamo comunque sospeso le integrazioni. Questo è avvenuto prima che chiunque al di fuori di un piccolo gruppo di team sapesse cosa fosse andato storto. Non lo sapevamo nemmeno noi. Ma ne sapevamo abbastanza.
La lezione non è "abbiamo fatto un'ottima scelta". È che è fondamentale disporre di processi sicuri per sospendere qualcosa alle 19:00 di sabato, prima ancora che arrivi il sabato. Se l'impostazione predefinita è "attendere il consenso", si perde l'opportunità.
Liquidità sotto pressione
Una volta che LayerZero è stato messo in pausa, le successive 48 ore sono state dedicate alla liquidità.
Gran parte del settore DeFi si basa sull'ottimizzazione del rendimento. I curatori competono sull'APY, i fornitori di liquidità (LP) inseguono l'APY, l'intero sistema si regge sui tassi. Il problema è che il capitale ottimizzato per il rendimento è, per definizione, parcheggiato dove la settimana precedente offriva il rendimento migliore. Quando la situazione si fa critica e i fornitori di liquidità vogliono ritirare i propri fondi, i vault ottimizzati per il rendimento non sono in grado di soddisfare tutte le richieste di prelievo, perché il capitale non si trova dove avvengono i prelievi, ma dove il rendimento era più elevato.
La scorsa settimana abbiamo ottimizzato la liquidità. Abbiamo lavorato attivamente per calibrare i parametri del vault Morpho sui vault Katana e Vault Bridge, in modo che i nostri partner istituzionali e i distributori al dettaglio potessero prelevare fondi in caso di necessità. Alcuni lo hanno fatto e sono stati serviti in poche ore, non in giorni. Altri non ne hanno avuto bisogno, ma la consapevolezza di poterlo fare ha contribuito a convincerli a non farlo. Riteniamo che questo approccio rifletta il tipo di affidabilità operativa che i partner istituzionali apprezzano.
Nel mondo della DeFi, Aave ha sospeso i suoi mercati rsETH durante questo periodo. Euler, a quanto pare, operava a pieno regime. Molte piattaforme che sembravano in buone condizioni una settimana fa si sono rivelate in difficoltà, con volumi di scambio insufficienti ad assorbire questo shock.
La richiesta di curatela che abbiamo lanciato mesi fa
Non avevamo alcuna esposizione a rsETH, poiché non ha mai soddisfatto i nostri standard interni per i mercati di livello istituzionale. E questa è stata una decisione che abbiamo preso consapevolmente mesi fa.
Questa è la parte che non emerge in un'analisi post-evento. La curatela non è entusiasmante. È una serie di piccole e noiose decisioni su cosa non includere, prese molto prima che qualcuno ne capisca il perché. I locali che sopravvivono a una settimana del genere sono per lo più quelli che lo scorso ottobre hanno detto di no a cose che li avrebbero resi famosi il 10/10.
Anche il design di Morpho su Katana è d'aiuto. I mercati sono isolati. Un problema in uno non si propaga agli altri. Al contrario, un design basato su pool come Aave V3, dove l'esposizione di rsETH di questa settimana ha finito per mettere sotto pressione mercati che non avevano nulla a che fare con KelpDAO. L'architettura determina cosa può succedere a causa del contagio.
La fondazione che deteneva
Katana utilizza Vault Bridge per connettersi a Ethereum e al resto dell'ecosistema Agglayer. Sebbene esista un comitato per gli aggiornamenti del bridge, non si affida a un comitato di firmatari per la verifica delle transazioni. Utilizza invece le prove ZK on-chain come meccanismo di verifica. La verifica è il calcolo stesso. Il livello di prova pessimistica di Agglayer è progettato in modo che una blockchain possa prelevare solo ciò che è stato effettivamente depositato. La tecnica di conio infinito, la modalità di fallimento alla base dell'exploit di KelpDAO e di altri incidenti di alto profilo che hanno coinvolto bridge come Polkadot, BNB e Wormhole, è strutturalmente progettata per essere prevenuta da questa architettura. Come per qualsiasi tecnologia, nessuna architettura può garantire l'immunità da tutti i vettori di attacco, ma riteniamo che questa progettazione riduca significativamente la superficie di attacco rispetto alle alternative basate su firme multiple e comitati.
Questa architettura denota un maggiore grado di affidabilità in situazioni di stress. Molte istituzioni hanno voluto ridurre immediatamente il rischio e rinegoziarlo in seguito. Quando questa settimana ho comunicato ai partner istituzionali che Katana era operativa e che i loro fondi erano accessibili, lo ho fatto perché l'infrastruttura sottostante era stata progettata per resistere sotto pressione, non perché ci affidassimo a una configurazione off-chain.
Il sistema improvvisato di cui ho parlato all'inizio – ovvero i verificatori uno su uno, i firmatari due su tre e le dipendenze RPC multilivello su cui gran parte del settore fa ancora affidamento – è l'opposto di questo. Il motivo per cui continua a fallire non è che i team che lo gestiscono siano incompetenti, ma che il modello non è adatto al contesto attuale.
Cosa ci ha insegnato davvero questa settimana
La disciplina nella selezione dei titoli è l'elemento più influente che un operatore possa mettere in pratica. Le decisioni prese sei mesi fa su cosa includere e cosa escludere sono il motivo per cui abbiamo avuto un fine settimana tranquillo anziché uno catastrofico. E le relazioni istituzionali che abbiamo sviluppato negli ultimi sei mesi sono il motivo per cui Katana ha iniziato la settimana come una piattaforma liquida e ha continuato a gestire riscatti a otto cifre per tutta la settimana. L'impatto immediato è rappresentato dai deflussi e dalla perdita di TVL, l'impatto a lungo termine è una maggiore fiducia in Morpho su Katana e un aumento del TVL.
La liquidità è una questione di atteggiamento, non di numeri. Una piattaforma è liquida solo nella misura in cui è disposta a detenere capitali nel luogo in cui avvengono effettivamente i rimborsi, che quasi mai coincide con il luogo in cui si generano i rendimenti.
Il nastro adesivo si sta strappando a un ritmo sempre più accelerato da diciotto mesi. Chiunque continui a costruire sopra di esso sta scommettendo sul fatto che gli aggressori staranno alla larga dal loro angolo specifico. Io non ci scommetterei.
Cosa deve cambiare ora?
L'industria non si limita a diagnosticare il problema. Alcuni stanno già lavorando alla soluzione. Tutti devono prendere delle decisioni.
È ovvio che i verificatori DVN uno a uno appartengono al passato. Meno ovvio è come gli emittenti di asset implementino meccanismi di controllo. Tra le altre cose, si potrebbe immaginare di aver bisogno solo di 1 firmatario su N per sospendere un contratto, ma di 5 firmatari su 6 per riattivarlo. Ethena ha un'implementazione Layer Zero che utilizza limiti di velocità personalizzati che limitano i trasferimenti cross-chain a 10 milioni di dollari all'ora per ogni DVN e hanno un limite di velocità di 10 milioni di dollari per blocco sul contratto di conio.
Una decisione fondamentale che i fondatori devono prendere riguarda il compromesso tra esperienza utente e misure di sicurezza. Come afferma il fondatore di Ethena: "Sì, è un piccolo inconveniente per gli utenti nel 99% dei casi, ma è un compromesso che vale la pena accettare per evitare di perdere tutto".
I livelli di curatela si formalizzeranno e diventeranno più chiari per il mercato. La distinzione tra esposizione DeFi di qualità e ad alto rendimento – che i curatori più esperti operano informalmente da tempo – diventerà più esplicita e comprensibile per gli investitori istituzionali.
L'innovazione nei prodotti assicurativi istituzionali è alle porte. Una possibile implementazione potrebbe essere l'integrazione dell'assicurazione nei contratti di prestito, obbligando gli utenti a rinunciare all'assicurazione anziché costringerli a rivolgersi a terzi con tariffe elevate per una copertura minima.
La base di fondatori si consoliderà attorno a persone che comprendono realmente cosa stanno costruendo. Esiste una versione di questo settore in cui la DeFi viene trattata come un problema di software: rilasciare velocemente, iterare, correggere in seguito. Questo modello non funziona quando si tratta di finanza. La finanza si basa sulla fiducia e la sicurezza ne è un elemento fondamentale. Gli obblighi sono diversi. Il costo di un errore non è un rollback, ma una perdita permanente, su larga scala, senza possibilità di ricorso. I protocolli che saranno ancora attivi tra due anni saranno gestiti da fondatori che avranno interiorizzato questa distinzione fin da subito.
Il team di KelpDAO sta facendo progressi e sta affrontando questa situazione con il supporto di un più ampio numero di partecipanti del settore. Spero che l'operazione vada a buon fine. Ma il prossimo incidente di portata simile a quello di Kelp è già in programma da qualche parte, e gli operatori che saranno ancora in attività tra un anno saranno quelli che avranno preso sul serio quanto accaduto questa settimana.
L'abbiamo presa sul serio. E continueremo a prenderla sul serio.
L'articolo The War Room Notes: Running Katana Through DeFi's Worst Week Since FTX è apparso per la prima volta su BeInCrypto .