被盗超过40小时后,Kelp DAO引发的连锁反应仍在持续发酵,不仅Aave、LayerZero、Arbitrum等越来越多知名项目牵扯进来,甚至达到一些热门叙事遭到死亡审判的程度。知名KOL风无向在X平台表示,只有ETH是安全的了,ARB也授权冻结转移了客户的资产。没有一个L2是真正的L2了应该。L2兴于Arbitrum,也亡于Arbitrum。另一名知名KOL蓝狐则表示,这次kelp事故损失最大不是Aave,也不是Kelp,而是Layerzero,只是它太短视了,看不到整个事件的本质到底是什么。这个事件的本质不是证伪了L2(假L2就算了),而是证伪了跨链桥。越来越多激烈的观点出现在舆论场上,事件当事方各执一词、互相扯皮,这使得Kelp DAO被盗事件成为一起观察安全事故责任划分、实用主义与技术原教旨主义冲突的典型窗口。### 一、L0被证伪?跨链桥成最大输家事件的关键节点是LayerZero昨日发布的黑客攻击详细报告,初步判断攻击者为朝鲜背景的Lazarus Group。攻击通过投毒其去中心化验证网络(DVN)依赖的下游RPC基础设施实现,攻击者控制部分RPC节点并配合DDoS攻击,诱导系统切换至恶意节点,从而伪造跨链交易。“利用被入侵节点对RPC基础设施进行投毒攻击,并结合对未受影响的RPC发起DDoS攻击以强制故障转移,这种手段十分复杂。这本质上是一种基础设施战。”Animoca Brands投资与合作主管Samuel Tse评价称。在报告的最后,LayerZero表示协议在整个事件过程中完全按照预期运行。协议中未发现任何漏洞。LayerZero架构的核心特性是模块化安全,而在这个案例中,它完美地实现了预期目标,将整个攻击隔离到单个应用程序内——整个系统零传染风险,其他OFT或OApp也未受到影响。这种对自身责任的完全摘除,成为了引发巨大舆论反弹的导火索,诸多知名行业人士对LayerZero在该事件中的表现不满。“L0把自己摘得干干净净,整篇文章把锅全都甩给KelpDAO配置失误,自己硬是一点问题没有。绝了。请问,为什么允许1/1配置存在?为什么内部RPC列表能被攻击者拿到?为什么failover逻辑在DDoS后直接信任被污染的RPC,而没有直接停止验证,或者哪怕做一点点事情?”知名行业研究员CM反问称。“这种刻意回避的态度让我很不舒服。声明里明明写着‘协议运行完全符合预期’。攻击被描述为RPC节点被攻破和RPC投毒。但RPC投毒并非如此,他们自身的基础设施遭到了入侵和破坏。鉴于声明没有说明入侵是如何发生的,我不会急于重新启用桥接。”知名DeFi开发者banteg表示。KelpDAO官方也随之发声,表示导致此次攻击的单验证器(1/1)配置并非其无视建议的选择,而是LayerZero官方指南中的默认设置,且被攻击者利用的验证器网络(DVN)是LayerZero自有的基础设施。根据Dune的分析,在基于LayerZero的2665个OApp合约中,47%采用1/1DVN配置,也就是单验证机制,这使得行业的风险倍增。比出现问题更可怕的是,当事方不承认错误、回避错误。LayerZero作为跨链通讯与Layer0叙事的头号玩家,数百个加密项目正在使用其跨链基础设施来桥接不同链的代币与资产,如果继续保持傲慢的姿态,势必会进一步影响行业对其信心。舆论普遍认为,LayerZero虽未直接被黑,但声誉受损最大——它必须为“允许弱配置”付出代价,否则跨链叙事将走向崩盘。也就是说,LayerZero不仅需要提出明确的技术改进措施,也需要在资产赔偿方案上承担更多责任。### 二、Layer2已死?Arbitrum的超常规冻结针对Layer2的讨论则来自Arbitrum的冻结行为。今日中午,Arbitrum安全委员会发布公告称,已采取紧急行动解救了黑客存放在Arbitrum One地址中的30,766枚ETH,目前价值7100万美元。Arbitrum方面还表示,经过大量的技术调查和审议,安全委员会确定并执行了一项技术方案,在不影响任何其他链状态或Arbitrum用户的情况下,将资金转移到安全地点。原持有资金的地址已无法访问这些资金,只有Arbitrum管理机构才能采取进一步行动转移这些资金,该行动将与相关各方协调进行。根据行业人士的解读,Arbitrum安全委员会使用了一个特权的状态覆盖交易类型(这是ArbOS的一部分,但基本上从未使用过),让攻击者的私钥仍然可以签名交易,但该地址的ETH由链本身转移了。这个特殊的交易类型完全绕过了攻击者的私钥,只有链本身(通过sequencer /ArbOS升级路径,由Arbitrum安全委员会控制)才能注入。据悉,Arbitrum安全委员会由12名个人组成,他们是由Arbitrum DAO选举产生的,任何决策都需要其中9/12人同意。一石激起千层浪。此前在外界看来,Arbitrum作为具有代表性的Layer2并没有处理用户ETH资产的能力与权限,毕竟这有违区块链的去中心化精神。在过去的黑客事件中,黑客盗取的USDT、USDC往往都可以在第一时间由Tether、Circle冻结,以减少用户损失。ETH作为链原生资产,历史上还没有过被链本身冻结和转移的先例,也超出了绝大多数用户的预期范围。许多观点支持Arbitrum的做法,例如“所有公司、银行和正规金融机构最终都会采用二级架构。在关键时刻像一个集中式实体那样运作并非缺陷,而是一项优势。”但对于更多技术极客而言并非如此。“无需私钥,无需授权,直接转账。”在很多观点看来,Arbitrum的此次操作可谓重新定义了Layer2的去中心化程度,这使得他们在Layer2上缺乏安全感。蓝狐直言,这次事件已经直接触碰了DeFi核心意识形态红线:“Not Your keys, not your coins”。这次事件又回到了加密的经典难题:实用主义的安全vs完全去中心化的安全。### 结语当LayerZero说“协议运行完全符合预期”时,它保住了技术正确性,却输掉了舆论与信任;当Arbitrum用特权交易转移7100万美元ETH时,它挽救了用户资金,却重创了Layer2的去中心化叙事。Kelp被盗风波把两个最热门的叙事同时推上审判台:跨链桥到底是基础设施还是风险放大器?Layer2究竟是以太坊的可靠扩展,还是披着去中心化外衣的二级银行?LayerZero由于单一验证节点机制遭到攻破,Arbitrum使用集中化的特殊投票机制为LayerZero与KelpDAO挽回损失。这构成了一个极其讽刺的闭环:一个自诩去中心化的协议,因其“单点脆弱”而崩塌;最终却不得不依靠另一个协议的“中心化特权”来收场。它逼迫整个行业直面一个从未被正面回答的问题:当去中心化的理想撞上现实的安全代价时,我们究竟愿意牺牲哪一边?宏大叙事的讨论是一个舆论焦点,用户的赔偿方案则是另一个现实的舆论焦点。即便Arbitrum通过技术手段追回超过7000万美元资金,但Aave仍然存在近2亿美元的坏账,用户的利益又该如何得到应有的维护与保障?在绝大多数黑客事件中,千万美元级别的损失对协议而言堪称灭顶之灾,用户的追赔通常无疾而终。但此次事件涉及Aave、LayerZero等头部明星项目,其坏账处理方案备受瞩目。Aave今日提出两种可能的坏账处理方案,第一种是损失在所有rsETH持有者之间社会化分摊(全链分担),KelpDAO对所有rsETH(主网+L2)进行统一价值减计(约15%脱钩);第二种是只让L2上的rsETH持有者承担所有损失,主网rsETH维持原价值。但是,KelpDAO与LayerZero官方至今没有谈论其在赔偿方案中扮演的角色。从LayerZero在报告中试图撇清责任的态度中不难看出,该项目认为没有责任就没有赔偿的义务。不过,一个拥有数十亿美元估值、被数百个项目视作底层依赖的协议,在面对DVN默认配置导致的巨额损失时选择“技术性免责”,这本身就是对“底层基础设施”这一定义的巨大讽刺。这是一种典型的囚徒困境,身处危机的各方都在试图通过“利益切割”来实现自身损失的最小化,而非通过共担责任来修补行业的信任赤字。从本次事件对行业各方的负面影响来看,对于DeFi领域而言,这将是史上最危险的一次囚徒困境。
DeFi は史上最も危険な囚人のジレンマに陥っている
被盗超过40小时后,Kelp DAO引发的连锁反应仍在持续发酵,不仅Aave、LayerZero、Arbitrum等越来越多知名项目牵扯进来,甚至达到一些热门叙事遭到死亡审判的程度。
知名KOL风无向在X平台表示,只有ETH是安全的了,ARB也授权冻结转移了客户的资产。没有一个L2是真正的L2了应该。L2兴于Arbitrum,也亡于Arbitrum。
另一名知名KOL蓝狐则表示,这次kelp事故损失最大不是Aave,也不是Kelp,而是Layerzero,只是它太短视了,看不到整个事件的本质到底是什么。这个事件的本质不是证伪了L2(假L2就算了),而是证伪了跨链桥。
越来越多激烈的观点出现在舆论场上,事件当事方各执一词、互相扯皮,这使得Kelp DAO被盗事件成为一起观察安全事故责任划分、实用主义与技术原教旨主义冲突的典型窗口。
一、L0被证伪?跨链桥成最大输家
事件的关键节点是LayerZero昨日发布的黑客攻击详细报告,初步判断攻击者为朝鲜背景的Lazarus Group。攻击通过投毒其去中心化验证网络(DVN)依赖的下游RPC基础设施实现,攻击者控制部分RPC节点并配合DDoS攻击,诱导系统切换至恶意节点,从而伪造跨链交易。
“利用被入侵节点对RPC基础设施进行投毒攻击,并结合对未受影响的RPC发起DDoS攻击以强制故障转移,这种手段十分复杂。这本质上是一种基础设施战。”Animoca Brands投资与合作主管Samuel Tse评价称。
在报告的最后,LayerZero表示协议在整个事件过程中完全按照预期运行。协议中未发现任何漏洞。LayerZero架构的核心特性是模块化安全,而在这个案例中,它完美地实现了预期目标,将整个攻击隔离到单个应用程序内——整个系统零传染风险,其他OFT或OApp也未受到影响。
这种对自身责任的完全摘除,成为了引发巨大舆论反弹的导火索,诸多知名行业人士对LayerZero在该事件中的表现不满。
“L0把自己摘得干干净净,整篇文章把锅全都甩给KelpDAO配置失误,自己硬是一点问题没有。绝了。请问,为什么允许1/1配置存在?为什么内部RPC列表能被攻击者拿到?为什么failover逻辑在DDoS后直接信任被污染的RPC,而没有直接停止验证,或者哪怕做一点点事情?”知名行业研究员CM反问称。
“这种刻意回避的态度让我很不舒服。声明里明明写着‘协议运行完全符合预期’。攻击被描述为RPC节点被攻破和RPC投毒。但RPC投毒并非如此,他们自身的基础设施遭到了入侵和破坏。鉴于声明没有说明入侵是如何发生的,我不会急于重新启用桥接。”知名DeFi开发者banteg表示。
KelpDAO官方也随之发声,表示导致此次攻击的单验证器(1/1)配置并非其无视建议的选择,而是LayerZero官方指南中的默认设置,且被攻击者利用的验证器网络(DVN)是LayerZero自有的基础设施。
根据Dune的分析,在基于LayerZero的2665个OApp合约中,47%采用1/1DVN配置,也就是单验证机制,这使得行业的风险倍增。
比出现问题更可怕的是,当事方不承认错误、回避错误。LayerZero作为跨链通讯与Layer0叙事的头号玩家,数百个加密项目正在使用其跨链基础设施来桥接不同链的代币与资产,如果继续保持傲慢的姿态,势必会进一步影响行业对其信心。
舆论普遍认为,LayerZero虽未直接被黑,但声誉受损最大——它必须为“允许弱配置”付出代价,否则跨链叙事将走向崩盘。
也就是说,LayerZero不仅需要提出明确的技术改进措施,也需要在资产赔偿方案上承担更多责任。
二、Layer2已死?Arbitrum的超常规冻结
针对Layer2的讨论则来自Arbitrum的冻结行为。今日中午,Arbitrum安全委员会发布公告称,已采取紧急行动解救了黑客存放在Arbitrum One地址中的30,766枚ETH,目前价值7100万美元。
Arbitrum方面还表示,经过大量的技术调查和审议,安全委员会确定并执行了一项技术方案,在不影响任何其他链状态或Arbitrum用户的情况下,将资金转移到安全地点。原持有资金的地址已无法访问这些资金,只有Arbitrum管理机构才能采取进一步行动转移这些资金,该行动将与相关各方协调进行。
根据行业人士的解读,Arbitrum安全委员会使用了一个特权的状态覆盖交易类型(这是ArbOS的一部分,但基本上从未使用过),让攻击者的私钥仍然可以签名交易,但该地址的ETH由链本身转移了。
这个特殊的交易类型完全绕过了攻击者的私钥,只有链本身(通过sequencer /ArbOS升级路径,由Arbitrum安全委员会控制)才能注入。
据悉,Arbitrum安全委员会由12名个人组成,他们是由Arbitrum DAO选举产生的,任何决策都需要其中9/12人同意。
一石激起千层浪。此前在外界看来,Arbitrum作为具有代表性的Layer2并没有处理用户ETH资产的能力与权限,毕竟这有违区块链的去中心化精神。
在过去的黑客事件中,黑客盗取的USDT、USDC往往都可以在第一时间由Tether、Circle冻结,以减少用户损失。ETH作为链原生资产,历史上还没有过被链本身冻结和转移的先例,也超出了绝大多数用户的预期范围。
许多观点支持Arbitrum的做法,例如“所有公司、银行和正规金融机构最终都会采用二级架构。在关键时刻像一个集中式实体那样运作并非缺陷,而是一项优势。”但对于更多技术极客而言并非如此。
“无需私钥,无需授权,直接转账。”在很多观点看来,Arbitrum的此次操作可谓重新定义了Layer2的去中心化程度,这使得他们在Layer2上缺乏安全感。
蓝狐直言,这次事件已经直接触碰了DeFi核心意识形态红线:“Not Your keys, not your coins”。这次事件又回到了加密的经典难题:实用主义的安全vs完全去中心化的安全。
结语
当LayerZero说“协议运行完全符合预期”时,它保住了技术正确性,却输掉了舆论与信任;当Arbitrum用特权交易转移7100万美元ETH时,它挽救了用户资金,却重创了Layer2的去中心化叙事。
Kelp被盗风波把两个最热门的叙事同时推上审判台:跨链桥到底是基础设施还是风险放大器?Layer2究竟是以太坊的可靠扩展,还是披着去中心化外衣的二级银行?
LayerZero由于单一验证节点机制遭到攻破,Arbitrum使用集中化的特殊投票机制为LayerZero与KelpDAO挽回损失。这构成了一个极其讽刺的闭环:一个自诩去中心化的协议,因其“单点脆弱”而崩塌;最终却不得不依靠另一个协议的“中心化特权”来收场。
它逼迫整个行业直面一个从未被正面回答的问题:当去中心化的理想撞上现实的安全代价时,我们究竟愿意牺牲哪一边?
宏大叙事的讨论是一个舆论焦点,用户的赔偿方案则是另一个现实的舆论焦点。即便Arbitrum通过技术手段追回超过7000万美元资金,但Aave仍然存在近2亿美元的坏账,用户的利益又该如何得到应有的维护与保障?
在绝大多数黑客事件中,千万美元级别的损失对协议而言堪称灭顶之灾,用户的追赔通常无疾而终。但此次事件涉及Aave、LayerZero等头部明星项目,其坏账处理方案备受瞩目。
Aave今日提出两种可能的坏账处理方案,第一种是损失在所有rsETH持有者之间社会化分摊(全链分担),KelpDAO对所有rsETH(主网+L2)进行统一价值减计(约15%脱钩);第二种是只让L2上的rsETH持有者承担所有损失,主网rsETH维持原价值。
但是,KelpDAO与LayerZero官方至今没有谈论其在赔偿方案中扮演的角色。从LayerZero在报告中试图撇清责任的态度中不难看出,该项目认为没有责任就没有赔偿的义务。
不过,一个拥有数十亿美元估值、被数百个项目视作底层依赖的协议,在面对DVN默认配置导致的巨额损失时选择“技术性免责”,这本身就是对“底层基础设施”这一定义的巨大讽刺。
这是一种典型的囚徒困境,身处危机的各方都在试图通过“利益切割”来实现自身损失的最小化,而非通过共担责任来修补行业的信任赤字。
从本次事件对行业各方的负面影响来看,对于DeFi领域而言,这将是史上最危险的一次囚徒困境。