DeFi попал в самое опасное в истории дилемму заключённого

Автор: Гу Юй, ChainCatcher

После более чем 40 часов после кражи, цепная реакция, вызванная Kelp DAO, все еще продолжает набирать обороты, в нее все больше вовлекаются известные проекты, такие как Aave, LayerZero, Arbitrum, и даже достигается уровень, когда некоторые популярные нарративы подвергаются смертельному суду.

Известный KOL Фэн Вэйсян в платформе X заявил, что только ETH остается безопасным, ARB также разрешил заморозить и перевести активы клиентов. Ни один L2, по его мнению, не является настоящим L2. L2 возник на базе Arbitrum, и также погиб на базе Arbitrum.

Другой известный KOL Лань Ху отметил, что最大шие потери в этом инциденте понесли не Aave и не Kelp, а LayerZero, просто оно было слишком короткозорным и не увидело сути всей ситуации. Суть этого события не в том, что L2 был опровергнут (хотя и фейковый L2), а в том, что опровергнут межцепочные мосты.

Все больше и больше острых мнений появляется в общественном мнении, стороны конфликта спорят и перекладывают вину друг на друга, что делает кражу из Kelp DAO классическим примером для анализа ответственности за безопасность, а также конфликтов прагматизма и технологического фундаментализма.

一、L0被证伪？跨链桥成最大输家

Ключевым моментом инцидента стал подробный отчет о хакерской атаке, опубликованный LayerZero вчера, предварительно предполагается, что злоумышленник — группа Lazarus из Северной Кореи. Атака осуществлялась через внедрение вредоносных данных в их децентрализованную проверочную сеть (DVN), которая зависит от RPC-инфраструктуры. Злоумышленник контролировал часть RPC-узлов и в сотрудничестве с DDoS-атакой вынудил систему переключиться на вредоносные узлы, что позволило сфальсифицировать межцепочную транзакцию.

«Использование взломанных узлов для внедрения вредоносных данных в RPC-инфраструктуру и одновременная DDoS-атака на неуязвимые RPC — это очень сложная тактика. По сути, это инфраструктурная война», — оценил руководитель по инвестициям и партнерствам Animoca Brands Сэмюэл Цзе.

В конце отчета LayerZero заявил, что протокол в ходе всего инцидента работал полностью согласно ожиданиям. В системе не обнаружено уязвимостей. Основная особенность архитектуры LayerZero — модульная безопасность, и в этом случае она идеально реализовала задуманное, изолировав весь инцидент внутри одного приложения — риск заражения всей системы исключен, другие OFT или OApp не пострадали.

Полное отрицание собственной ответственности стало триггером для сильной общественной реакции, многие известные специалисты выразили недовольство действиями LayerZero в этом инциденте.

«L0 полностью очистил свою совесть, всю вину свалил на неправильную настройку KelpDAO, сам же не имеет никаких проблем. Невероятно. Почему вообще допускается существование конфигурации 1/1? Почему атакующий мог получить список внутренних RPC? Почему логика failover после DDoS доверяет загрязненным RPC, вместо того чтобы сразу остановить проверку или хотя бы предпринять какие-то меры?» — возмутился известный исследователь в области блокчейна CM.

«Такое умышленное избегание ответственности вызывает у меня сильное недовольство. В заявлении явно написано, что «протокол работал полностью согласно ожиданиям». А атака описывается как взлом RPC-узлов и внедрение вредоносных данных, но внедрение вредоносных данных — это не только это, их инфраструктура была взломана и повреждена. Поскольку в заявлении не указано, как именно произошел взлом, я не буду спешить с повторным включением моста», — отметил разработчик DeFi banteg.

Официальный представитель Kelp DAO также выступил с заявлением, что конфигурация единственного валидатора (1/1), которая привела к атаке, не является их игнорированием рекомендаций, а — стандартной настройкой в руководстве LayerZero, и что сеть валидаторов (DVN), использованная злоумышленником, — собственная инфраструктура LayerZero.

Согласно анализу Dune, из 2665 контрактов OApp, основанных на LayerZero, 47% используют конфигурацию 1/1 DVN, то есть механизм единственного валидатора, что значительно увеличивает риски отрасли.

Более страшно, чем сама проблема, — это то, что стороны инцидента отказываются признавать ошибки и избегают ответственности. LayerZero, как главный игрок в межцепочной коммуникации и нарративе Layer0, сотни криптопроектов используют его инфраструктуру для мостинга токенов и активов между цепями. Если продолжать демонстрировать высокомерие, это еще больше подорвет доверие к нему в индустрии.

Общественное мнение в целом считает, что, хотя LayerZero и не был взломан напрямую, его репутация пострадала сильнее всего — он должен заплатить цену за «разрешение слабых конфигураций», иначе нарратив межцепочной связи рухнет.

То есть, LayerZero нужно не только предложить конкретные технические улучшения, но и взять на себя большую ответственность за компенсацию активов.

二、Layer2 已死？Arbitrum 的超常规冻结

Обсуждение Layer2 связано с действиями Arbitrum по заморозке. Сегодня днем команда безопасности Arbitrum выпустила объявление, в котором сообщила, что приняла экстренные меры для спасения 30 766 ETH, хранящихся на адресе Arbitrum One, что сейчас оценивается в 71 миллион долларов.

Также в заявлении говорится, что после тщательного технического анализа и обсуждений команда безопасности приняла и реализовала техническое решение, которое позволяет перевести средства в безопасное место без влияния на состояние других цепей или пользователей Arbitrum. Адрес, где хранились активы, больше не имеет доступа к этим средствам, и только управляющая команда Arbitrum может предпринять дальнейшие действия по их перемещению, согласовав это с заинтересованными сторонами.

По мнению экспертов, команда безопасности Arbitrum использовала привилегированный тип транзакции (часть ArbOS, практически никогда не применявшуюся), которая позволяет злоумышленнику подписывать транзакции с помощью его приватного ключа, однако ETH на этом адресе был переведен самим блокчейном.

Этот особый тип транзакции полностью обходил приватный ключ злоумышленника, и только сама цепь (через секьюенсер / обновление ArbOS, управляемое командой Arbitrum) могла инициировать такие переводы.

Известно, что команда безопасности Arbitrum состоит из 12 человек, избранных DAO Arbitrum, и для принятия решений требуется согласие не менее 9 из них.

Это вызвало волну обсуждений. Ранее казалось, что Arbitrum, как представитель Layer2, не обладает возможностью и полномочиями управлять активами ETH пользователей, что противоречит духу децентрализации блокчейна.

В прошлых случаях хакеры могли быстро заморозить USDT, USDC через Tether и Circle, чтобы снизить потери пользователей. ETH — это нативный актив цепи, и ранее не было прецедентов, чтобы его могли заморозить или перевести сами цепи, что выходит за рамки ожиданий большинства пользователей.

Многие поддерживают действия Arbitrum, говоря, что «все компании, банки и официальные финансовые институты в конечном итоге перейдут на вторичные архитектуры. В критический момент работать как централизованное учреждение — не недостаток, а преимущество». Но для технических гиков это выглядит иначе.

«Без приватных ключей, без разрешений — просто перевод.» Многие считают, что действия Arbitrum в этом случае переопределяют уровень децентрализации Layer2, что вызывает у них ощущение отсутствия безопасности.

Лань Ху прямо заявил, что этот инцидент уже напрямую затронул основополагающие принципы DeFi: «Not Your keys, not your coins». И снова встает классическая проблема криптовалют: прагматичный подход к безопасности против полной децентрализации.

Заключение

Когда LayerZero говорит, что «протокол работает полностью согласно ожиданиям», он сохраняет техническую правильность, но теряет доверие и репутацию; когда Arbitrum с помощью привилегированных транзакций перевел 71 миллион долларов ETH, он спас активы пользователей, но сильно ударил по нарративу децентрализации Layer2.

Кража из Kelp подняла на суд сразу два самых популярных нарратива: что такое межцепочный мост — инфраструктура или усилитель рисков? И Layer2 — надежное расширение Ethereum или «второй банк» под прикрытием децентрализации?

LayerZero, пострадавший из-за уязвимости в механизме единственного валидатора, и Arbitrum, использующий централизованный механизм голосования для спасения LayerZero и Kelp DAO, образуют крайне ироничный замкнутый цикл: самопровозглашенный децентрализованный протокол рушится из-за «одной точки уязвимости», а в итоге вынужден полагаться на «централизованные привилегии» другого протокола.

Это вынуждает индустрию столкнуться с вопросом, на который еще никто не давал прямого ответа: когда идеал децентрализации сталкивается с реальной ценой безопасности — что мы готовы пожертвовать?

Обсуждение масштабных нарративов — это один аспект общественного мнения, а вопрос компенсации пострадавших — совсем другой, более приземленный. Даже если Arbitrum и удалось вернуть более 70 миллионов долларов, у Aave все еще есть почти 200 миллионов долларов непогашенного долга, и как защитить интересы пользователей — вопрос открытый.

В большинстве случаев хакерских атак потери в миллионы долларов — это катастрофа для протокола, а требования о компенсации зачастую остаются без ответа. Но в этом случае, с участием таких крупных проектов, как Aave и LayerZero, вопрос о порядке урегулирования долгов вызывает особый интерес.

Сегодня Aave предложил два варианта решения: первый — разделить убытки между всеми держателями rsETH (на всей цепи), снизив стоимость rsETH на примерно 15%; второй — оставить убытки только на L2, а основной сети — сохранить текущую стоимость.

Однако, ни Kelp DAO, ни официальные представители LayerZero до сих пор не обсуждали свою роль в компенсационной схеме. Из их отчета видно, что проект считает, что не несет ответственности — значит, и обязательств по компенсации у него нет.

Но сама по себе ситуация, когда протокол с десятками миллиардов долларов оценки и сотнями зависимых проектов уклоняется от ответственности за крупные потери, вызванные дефолтом DVN по умолчанию, — это огромная ирония в отношении определения «инфраструктура».

Это классическая дилемма заключенного: все стороны, оказавшиеся в кризисе, пытаются минимизировать свои потери через «распределение выгод», а не через совместное восстановление доверия в индустрии.

С учетом негативных последствий этого инцидента для всей отрасли, для DeFi это станет одним из самых опасных прецедентов в истории.