DeFi est plongé dans la crise de l'impasse du prisonnier la plus dangereuse de l'histoire

Auteur : Gu Yu, ChainCatcher

Plus de 40 heures après le vol, la réaction en chaîne déclenchée par Kelp DAO continue de fermenter, impliquant de plus en plus de projets renommés tels qu’Aave, LayerZero, Arbitrum, et même atteignant le point où certaines narratives populaires sont soumises à un jugement dernier.

Un influenceur connu, Feng Wu Xiang, a déclaré sur la plateforme X que seul ETH était désormais sécurisé, tandis qu’ARB avait également autorisé le gel et le transfert des actifs des clients. Aucun L2 ne peut vraiment être considéré comme un vrai L2. L2, qui a prospéré grâce à Arbitrum, a aussi disparu avec Arbitrum.

Un autre influenceur célèbre, Lan Hu, a indiqué que la plus grande perte causée par l’incident Kelp n’était ni Aave ni Kelp, mais LayerZero, qui a été trop court-termiste pour voir la véritable nature de l’événement. La nature de cet incident ne réside pas dans la falsification du L2 (même si c’est le cas), mais dans la falsification des ponts cross-chain.

De plus en plus de points de vue acerbes émergent dans l’opinion publique, chaque partie impliquée défendant sa version et se renvoyant la balle, ce qui fait de l’incident du vol de Kelp DAO une fenêtre d’observation typique pour la responsabilité des incidents de sécurité, le pragmatisme versus le fondamentalisme technologique.

1. L0 falsifié ? Les ponts cross-chain deviennent les grands perdants

Le point clé de l’événement est le rapport détaillé publié hier par LayerZero sur l’attaque, qui indique initialement que l’attaquant serait le groupe Lazarus, lié à la Corée du Nord. L’attaque a été menée via la contamination de leur réseau de validation décentralisé (DVN), dépendant d’une infrastructure RPC en aval, en contrôlant certains nœuds RPC et en combinant cela avec une attaque DDoS, induisant le système à basculer vers des nœuds malveillants, falsifiant ainsi des transactions cross-chain.

« Utiliser des nœuds compromis pour contaminer l’infrastructure RPC, combiné à une attaque DDoS sur les RPC non affectés pour forcer une bascule, est une méthode très sophistiquée. C’est essentiellement une guerre d’infrastructure. » a commenté Samuel Tse, responsable des investissements et des partenariats chez Animoca Brands.

En conclusion du rapport, LayerZero affirme que le protocole a fonctionné comme prévu tout au long de l’incident. Aucune vulnérabilité n’a été détectée dans le protocole. La caractéristique principale de l’architecture LayerZero est la sécurité modulaire, et dans ce cas précis, elle a parfaitement atteint ses objectifs, en isolant toute l’attaque à une seule application — le système dans son ensemble n’a pas été infecté, et aucun autre OFT ou OApp n’a été affecté.

Ce déni total de responsabilité a été le déclencheur d’une forte réaction publique, de nombreux experts du secteur exprimant leur mécontentement face à la performance de LayerZero dans cette affaire.

« L0 s’est complètement dédouané, en rejetant toute responsabilité sur une erreur de configuration de KelpDAO, alors qu’il n’y a eu aucun problème de leur côté. C’est incroyable. Pourquoi permettre une configuration 1/1 ? Pourquoi la liste RPC interne peut-elle être compromise par un attaquant ? Pourquoi la logique de failover fait-elle confiance aux RPC pollués après une attaque DDoS, sans arrêter la validation ou faire ne serait-ce qu’une petite vérification ? » a demandé CM, chercheur reconnu dans le secteur.

« Cette attitude d’évitement délibéré me met très mal à l’aise. La déclaration indique clairement que « le protocole a fonctionné comme prévu ». L’attaque est décrite comme une compromission des nœuds RPC et une contamination RPC. Mais la contamination RPC n’est pas simplement cela, leur infrastructure a été infiltrée et endommagée. Étant donné que la déclaration ne précise pas comment l’intrusion s’est produite, je ne vais pas réactiver le pont immédiatement. » a déclaré banteg, développeur DeFi renommé.

Le porte-parole officiel de Kelp DAO a également réagi, précisant que la configuration du validateur unique (1/1) responsable de cette attaque n’était pas une négligence, mais la configuration par défaut recommandée dans le guide officiel de LayerZero, et que le validateur exploité par l’attaquant (DVN) était l’infrastructure propre à LayerZero.

Selon une analyse de Dune, parmi les 2665 contrats OApp basés sur LayerZero, 47 % utilisent une configuration DVN 1/1, c’est-à-dire un mécanisme de validation unique, ce qui accroît considérablement le risque pour l’industrie.

Ce qui est encore plus inquiétant, c’est que les parties impliquées refusent de reconnaître leurs erreurs ou d’assumer leur responsabilité. LayerZero, en tant que principal acteur de la communication cross-chain et du récit Layer0, est utilisé par des centaines de projets pour relier des tokens et des actifs entre différentes chaînes. Si cette attitude arrogante perdure, cela pourrait encore plus miner la confiance de l’industrie en lui.

L’opinion publique considère généralement que, même si LayerZero n’a pas été directement piraté, sa réputation en a souffert — il doit payer le prix d’avoir permis une configuration faible, sinon le récit cross-chain s’effondrera.

Autrement dit, LayerZero doit non seulement proposer des améliorations techniques claires, mais aussi assumer davantage de responsabilités dans le cadre de ses plans d’indemnisation.

2. Layer2 est-il mort ? La suspension exceptionnelle d’Arbitrum

Les discussions sur Layer2 portent sur la suspension d’Arbitrum. Ce midi, le comité de sécurité d’Arbitrum a publié un communiqué annonçant avoir pris des mesures d’urgence pour sauver 30 766 ETH stockés dans l’adresse Arbitrum One, d’une valeur actuelle de 71 millions de dollars.

Ils ont également indiqué qu’après une enquête technique approfondie, le comité de sécurité avait décidé et mis en œuvre une solution technique permettant de transférer les fonds vers un endroit sûr, sans affecter l’état des autres chaînes ou les utilisateurs d’Arbitrum. L’adresse initiale ne peut plus accéder à ces fonds, seul le gestionnaire d’Arbitrum peut prendre des mesures pour les transférer, en coordination avec toutes les parties concernées.

Selon des analystes, le comité de sécurité d’Arbitrum a utilisé un type de transaction de couverture d’état privilégié (qui fait partie d’ArbOS, mais a été rarement utilisé), permettant à la clé privée de l’attaquant de signer des transactions, tandis que la ETH de cette adresse a été transférée par la chaîne elle-même.

Ce type de transaction contourne totalement la clé privée de l’attaquant, seule la chaîne (via le séquenceur / la mise à jour d’ArbOS, sous contrôle du comité de sécurité) peut injecter ces fonds.

Il est à noter que le comité de sécurité d’Arbitrum est composé de 12 membres élus par l’Arbitrum DAO, et toute décision nécessite l’accord de 9 sur 12 membres.

Ce geste a suscité une énorme controverse. Jusqu’ici, Arbitrum, en tant que Layer2 représentatif, n’était pas censé avoir la capacité ou le droit de gérer ou de geler les ETH des utilisateurs, ce qui va à l’encontre de l’esprit décentralisé de la blockchain.

Dans le passé, en cas de piratage, les tokens USDT ou USDC volés pouvaient être rapidement gelés par Tether ou Circle pour limiter les pertes. Mais pour l’ETH, en tant qu’actif natif de la chaîne, il n’y a jamais eu de précédent de gel ou de transfert par la chaîne elle-même, ce qui dépasse largement les attentes des utilisateurs.

De nombreux avis soutiennent la démarche d’Arbitrum, comme « toutes les entreprises, banques et institutions financières finiront par adopter une architecture à deux niveaux. Fonctionner comme une entité centralisée lors d’un moment critique n’est pas un défaut, mais un avantage. » Mais pour beaucoup de techniciens, ce n’est pas acceptable.

« Pas besoin de clé privée, pas besoin d’autorisation, transfert direct. » Selon plusieurs opinions, cette opération d’Arbitrum redéfinit le degré de décentralisation d’un Layer2, ce qui leur donne un sentiment d’insécurité accru.

Lan Hu affirme que cet incident touche directement à la ligne rouge de l’idéologie centrale de la DeFi : « Not Your Keys, Not Your Coins » (Pas vos clés, pas vos pièces). L’incident ramène à la vieille question : sécurité pragmatique versus sécurité totalement décentralisée.

Conclusion

Lorsque LayerZero affirme que « le protocole a fonctionné comme prévu », il a préservé la validité technique, mais a perdu la confiance et l’opinion publique ; lorsque Arbitrum a utilisé une transaction privilégiée pour transférer 71 millions de dollars en ETH, il a sauvé les fonds des utilisateurs, mais a gravement porté atteinte à la narration de la décentralisation du Layer2.

Le scandale du vol de Kelp a mis en jugement deux des narrations les plus populaires : le pont cross-chain est-il une infrastructure ou un amplificateur de risques ? Le Layer2 est-il une extension fiable d’Ethereum ou une banque secondaire déguisée en décentralisation ?

LayerZero, victime d’une faille dans son mécanisme de validation unique, et Arbitrum, utilisant un mécanisme de vote centralisé pour sauver la mise, forment un cercle vicieux extrêmement ironique : un protocole qui se prétend décentralisé s’effondre à cause de sa « vulnérabilité en point unique », et doit finalement recourir à un autre protocole centralisé pour se relever.

Cela force toute l’industrie à faire face à une question jamais vraiment répondue : lorsque l’idéal de décentralisation rencontre le coût réel de la sécurité, jusqu’où sommes-nous prêts à sacrifier l’un ou l’autre ?

Les débats sur la grande narration restent un point focal de l’opinion, mais la question des indemnisations des utilisateurs en est un autre, tout aussi crucial. Même si Arbitrum a récupéré plus de 70 millions de dollars par des moyens techniques, Aave affiche encore près de 200 millions de dollars de créances douteuses, et la protection des intérêts des utilisateurs reste une priorité.

Dans la majorité des incidents de piratage, des pertes de plusieurs millions de dollars sont souvent une catastrophe pour le protocole, et les demandes de compensation des utilisateurs finissent généralement par échouer. Mais cette fois, avec des projets comme Aave et LayerZero impliqués, la gestion des créances douteuses est sous le feu des projecteurs.

Aave a proposé deux scénarios de traitement des créances douteuses : le premier, une répartition sociale des pertes entre tous les détenteurs de rsETH (partage sur toute la chaîne), avec une réduction de valeur d’environ 15 % de tous les rsETH (mainnet + L2) ; le second, que seuls les détenteurs de rsETH sur L2 supportent la perte, le rsETH sur le mainnet conservant sa valeur initiale.

Cependant, ni Kelp DAO ni LayerZero n’ont encore discuté de leur rôle dans le plan d’indemnisation. La position de LayerZero dans le rapport, qui tente de dédouaner sa responsabilité, montre clairement que le projet considère qu’il n’a aucune obligation de compensation en l’absence de responsabilité.

Mais, pour un protocole valorisé à plusieurs milliards de dollars, considéré comme une dépendance fondamentale par des centaines de projets, refuser la responsabilité face à une perte colossale causée par la configuration DVN par « simple aspect technique » est une énorme satire de la notion même d’« infrastructure de base ».

C’est un dilemme du prisonnier typique : toutes les parties en crise tentent de minimiser leurs pertes par une répartition des intérêts, plutôt que de partager la responsabilité pour réparer la perte de confiance dans l’industrie.

D’après l’impact négatif de cet incident sur l’ensemble du secteur, il s’agit probablement de la plus grave crise du dilemme du prisonnier dans l’histoire de la DeFi.