DeFi se encuentra en la situación de dilema del prisionero más peligrosa de la historia

Autor: Gu Yu, ChainCatcher

Después de más de 40 horas de haber sido robado, la reacción en cadena provocada por Kelp DAO sigue fermentando, no solo involucrando a proyectos conocidos como Aave, LayerZero, Arbitrum, sino que incluso ha llegado a que algunas narrativas populares sean sometidas a juicio de muerte.

El conocido KOL Feng WuXiang expresó en la plataforma X que solo ETH es segura, y que ARB también ha autorizado el congelamiento y transferencia de los activos de los clientes. Ningún L2 es realmente un L2, debería ser así. L2 surgió en Arbitrum, y también murió en Arbitrum.

Otro conocido KOL, Lan Hu, afirmó que la mayor pérdida en el incidente de Kelp no fue para Aave ni para Kelp, sino para LayerZero, simplemente porque fue demasiado miope y no vio la esencia completa del evento. La esencia de este incidente no es que se haya falsificado un L2 (que un falso L2 ya sería suficiente), sino que se ha falsificado el puente entre cadenas.

Cada vez aparecen más opiniones acaloradas en la opinión pública, las partes involucradas discuten y se culpan mutuamente, lo que hace que el incidente del robo a Kelp DAO se convierta en una ventana típica para observar la división de responsabilidades en accidentes de seguridad, el conflicto entre pragmatismo y fundamentalismo técnico.

Uno, ¿se ha falsificado el L0? ¿El puente entre cadenas se convierte en el gran perdedor?

El punto clave del incidente fue el informe detallado de la brecha de seguridad publicado ayer por LayerZero, donde se estima preliminarmente que el atacante es el grupo Lazarus, con antecedentes en Corea del Norte. El ataque se realizó mediante envenenamiento de la infraestructura RPC (proveedor de servicios remotos) dependiente de su red de validación descentralizada (DVN), controlando algunos nodos RPC y combinándolo con ataques DDoS, induciendo al sistema a cambiar a nodos maliciosos, falsificando así transacciones entre cadenas.

“Utilizar nodos comprometidos para envenenar la infraestructura RPC, combinándolo con ataques DDoS a RPC no afectados para forzar fallos, es una técnica muy compleja. Es esencialmente una guerra de infraestructura.” evaluó Samuel Tse, director de inversiones y colaboraciones en Animoca Brands.

Al final del informe, LayerZero afirmó que el protocolo funcionó completamente según lo previsto durante todo el evento. No se encontraron vulnerabilidades en el sistema. La característica central de la arquitectura de LayerZero es la seguridad modular, y en este caso, logró aislar el ataque a una sola aplicación, sin que el sistema completo se infectara; ni otros OFT ni OApp se vieron afectados.

Esta completa desvinculación de su responsabilidad fue la chispa que provocó una gran reacción pública, y muchos expertos en la industria expresaron su insatisfacción con el desempeño de LayerZero en este incidente.

“L0 se limpió por completo, toda la culpa la echa a la configuración errónea de KelpDAO, y ellos mismos no tienen ningún problema. Es increíble. Pregunto, ¿por qué se permite que exista una configuración 1/1? ¿Por qué la lista interna de RPC puede ser obtenida por los atacantes? ¿Por qué la lógica de failover confía en RPC contaminados tras un DDoS, sin detener la validación o hacer algo al respecto?” cuestionó CM, investigador destacado en la industria.

“Esta actitud de evasión deliberada me incomoda mucho. En la declaración claramente dice ‘el funcionamiento del protocolo fue completamente conforme a lo esperado’. Se describe el ataque como la vulneración y envenenamiento de nodos RPC, pero no fue así; su infraestructura fue invadida y dañada. Dado que la declaración no explica cómo ocurrió la intrusión, no tengo prisa en volver a habilitar el puente.” afirmó banteg, desarrollador de DeFi reconocido.

La oficina oficial de Kelp DAO también emitió un comunicado, indicando que la configuración del validador único (1/1) que causó el ataque no fue una opción ignorando las recomendaciones, sino que era la configuración predeterminada en las guías oficiales de LayerZero, y que el validador explotado (DVN) es infraestructura propia de LayerZero.

Según análisis de Dune, en los 2665 contratos OApp basados en LayerZero, el 47% utiliza la configuración 1/1 DVN, es decir, mecanismo de validación único, lo que aumenta exponencialmente el riesgo en la industria.

Más alarmante que los problemas en sí, es que las partes involucradas no admiten errores ni evaden responsabilidades. LayerZero, como principal actor en la comunicación entre cadenas y en la narrativa Layer0, tiene cientos de proyectos de criptomonedas usando su infraestructura para puente de tokens y activos entre diferentes cadenas. Si continúa con una actitud arrogante, afectará aún más la confianza en la industria.

La opinión pública considera que, aunque LayerZero no fue hackeado directamente, su reputación sufrió el mayor daño—debe pagar el precio por “permitir configuraciones débiles”, de lo contrario, la narrativa de las cadenas cruzadas colapsará.

Es decir, LayerZero no solo necesita proponer mejoras técnicas claras, sino también asumir más responsabilidades en los planes de compensación de activos.

Dos, ¿el Layer2 está muerto? La congelación extraordinaria de Arbitrum

La discusión sobre Layer2 surge a raíz de la acción de congelación de Arbitrum. Hoy al mediodía, el comité de seguridad de Arbitrum publicó un aviso diciendo que tomó medidas de emergencia para rescatar los 30,766 ETH almacenados en la dirección de Arbitrum One, con un valor actual de 71 millones de dólares.

Además, Arbitrum indicó que, tras una exhaustiva investigación técnica y deliberación, el comité de seguridad decidió y ejecutó un plan técnico que, sin afectar el estado de otras cadenas o a los usuarios de Arbitrum, transfirió los fondos a un lugar seguro. La dirección original que poseía los fondos ya no puede acceder a ellos, y solo la administración de Arbitrum puede tomar acciones adicionales para transferir estos fondos, en coordinación con las partes involucradas.

Según expertos, el comité de seguridad de Arbitrum utilizó un tipo de transacción de control privilegiado (parte de ArbOS, pero casi nunca usado), que permite que la clave privada del atacante firme transacciones, pero los ETH en esa dirección son transferidos por la cadena misma.

Este tipo especial de transacción evita completamente que la clave privada del atacante sea necesaria, solo la cadena (a través del secuenciador / actualización de ArbOS, controlada por el comité de seguridad de Arbitrum) puede inyectar esas transferencias.

Se sabe que el comité de seguridad de Arbitrum está compuesto por 12 personas elegidas por DAO, y cualquier decisión requiere la aprobación de al menos 9 de ellas.

Esto ha causado gran revuelo. Hasta ahora, en la percepción general, Arbitrum, como un Layer2 representativo, no tenía la capacidad ni los permisos para gestionar los ETH de los usuarios, lo cual va en contra del espíritu de descentralización de la blockchain.

En incidentes anteriores, los hackers que robaron USDT y USDC generalmente pueden ser congelados rápidamente por Tether y Circle, reduciendo pérdidas para los usuarios. Sin embargo, en el caso del ETH, como activo nativo de la cadena, no existía precedentes de que la propia cadena lo congelara o transfiriera, lo que superó las expectativas de la mayoría.

Muchos apoyan la acción de Arbitrum, diciendo que “todas las empresas, bancos y entidades financieras formales eventualmente adoptarán arquitecturas de segundo nivel. Operar como una entidad centralizada en momentos críticos no es un defecto, sino una ventaja.” Pero para los tecnófilos, no es así.

“Sin claves privadas, sin autorización, transferencias directas.” Desde varias perspectivas, la acción de Arbitrum redefine el nivel de descentralización en Layer2, generando una sensación de inseguridad en estos.

Lan Hu afirmó claramente que este incidente tocó directamente la línea roja de la ideología central de DeFi: “Not Your Keys, Not Your Coins”. Este evento vuelve a la clásica problemática en criptomonedas: seguridad pragmática versus seguridad completamente descentralizada.

Conclusión

Cuando LayerZero dice que “el protocolo funcionó completamente según lo previsto”, mantiene la corrección técnica, pero pierde en opinión pública y confianza; cuando Arbitrum usa transacciones privilegiadas para transferir 71 millones de dólares en ETH, salva los fondos de los usuarios, pero daña gravemente la narrativa de descentralización en Layer2.

El escándalo del robo a Kelp pone en juicio simultáneamente a las dos narrativas más populares: ¿son los puentes entre cadenas infraestructura o amplificadores de riesgo? ¿Layer2 es una extensión confiable de Ethereum o un banco secundario con apariencia de descentralización?

LayerZero, por su mecanismo de nodo de validación único, fue vulnerado, y Arbitrum, usando un mecanismo de votación centralizado y especial, ayudó a LayerZero y a Kelp DAO a recuperar pérdidas. Esto forma un ciclo irónico: un protocolo que se autodenomina descentralizado, colapsa por su “punto único de vulnerabilidad”, y termina dependiendo de otro protocolo con “características centralizadas” para cerrar el ciclo.

Nos obliga a enfrentar una pregunta sin respuesta clara: cuando el ideal de descentralización choca con los costos de seguridad en la realidad, ¿qué estamos dispuestos a sacrificar?

Las discusiones sobre narrativas grandilocuentes son un foco de opinión pública, pero las soluciones de compensación a los usuarios son otra realidad. Aunque Arbitrum logró recuperar más de 70 millones de dólares, Aave aún tiene cerca de 200 millones en deudas incobrables, ¿cómo se protegerá y garantizará realmente los intereses de los usuarios?

En la mayoría de los incidentes de hacking, pérdidas millonarias representan un golpe mortal para los protocolos, y las reclamaciones de los usuarios suelen quedar sin respuesta. Pero en este caso, con proyectos estrella como Aave y LayerZero involucrados, la gestión de las deudas es especialmente observada.

Aave propuso hoy dos posibles planes de recuperación: uno, socializar las pérdidas entre todos los poseedores de rsETH (reparto en toda la cadena), reduciendo el valor de todos los rsETH (mainnet + L2 en aproximadamente un 15%); otro, que solo los poseedores de rsETH en L2 asuman las pérdidas, manteniendo el valor original en la mainnet.

Pero ni Kelp DAO ni LayerZero han discutido aún su papel en la compensación. La actitud de LayerZero en el informe, intentando eludir responsabilidades, indica que consideran que sin responsabilidad no hay obligación de compensar.

Sin embargo, un protocolo valorado en miles de millones de dólares, dependiente de cientos de proyectos, que ante pérdidas enormes por configuración predeterminada del DVN opta por “eximir tecnológicamente”, es una gran ironía a la definición misma de “infraestructura básica”.

Es un típico dilema del prisionero: las partes en crisis intentan minimizar sus pérdidas mediante “reparto de beneficios”, en lugar de asumir responsabilidades conjuntas para reparar la confianza del sector.

Desde la perspectiva del impacto negativo en la industria, esto será quizás la peor situación de dilema del prisionero en la historia de DeFi.