DeFi попал в самое опасное в истории дилемму заключённого

Автор: Гу Юй, ChainCatcher

После более чем 40 часов после кражи цепная реакция, вызванная Kelp DAO, все еще продолжает набирать обороты, в нее вовлечены все более известные проекты, такие как Aave, LayerZero, Arbitrum, и даже некоторые популярные нарративы сталкиваются с критикой и смертью.

Известный KOL Фэн Вэйсян на платформе X заявил, что только ETH остается безопасным, ARB также разрешил заморозить и перевести активы клиентов. Ни один L2, по его мнению, не является настоящим L2. L2 возник на базе Arbitrum, и также погиб на базе Arbitrum.

Другой известный KOL Лань Ху отметил, что最大шие потери в этом инциденте понесли не Aave и не Kelp, а LayerZero, просто оно было слишком короткозорким и не увидело сути всей ситуации. Суть этого события не в том, что L2 был опровергнут (хотя и фейковый L2), а в том, что опровергнут межцепочечные мосты.

Все больше и больше острых мнений появляется в общественном мнении, стороны конфликта спорят и обвиняют друг друга, что делает кражу Kelp DAO классическим примером для анализа ответственности за безопасность, а также конфликтов между прагматизмом и техническим фундаментализмом.

一、L0被证伪？跨链桥成最大输家

Ключевым моментом инцидента стал подробный отчет о хакерской атаке, опубликованный LayerZero вчера, предварительно предполагается, что злоумышленник — группа Lazarus из Северной Кореи. Атака осуществлена через внедрение вредоносных данных в их децентрализованную проверочную сеть (DVN), которая зависит от RPC-инфраструктуры. Злоумышленник контролировал часть RPC-узлов и в сочетании с DDoS-атакой заставил систему переключиться на вредоносные узлы, что позволило сфальсифицировать межцепочечные транзакции.

«Использование взломанных узлов для внедрения вредоносных данных в RPC-инфраструктуру и сочетание этого с DDoS-атакой для принудительного переключения — очень сложная тактика. По сути, это инфраструктурная война», — оценил руководитель по инвестициям и партнерствам Animoca Brands Сэмюэл Цзе.

В конце отчета LayerZero заявил, что протокол работал полностью согласно ожиданиям. В системе не обнаружено уязвимостей. Основная особенность архитектуры LayerZero — модульная безопасность, и в этом случае она идеально реализовала задуманное, изолировав всю атаку внутри одного приложения — вся система осталась без заражения, другие OFT или OApp не пострадали.

Полное отрицание собственной ответственности стало триггером для сильной общественной реакции, многие известные специалисты выразили недовольство действиями LayerZero в этом инциденте.

«L0 полностью очистил свою репутацию, свалив всю вину на неправильную настройку KelpDAO, при этом сам не допустил ни одной ошибки. Вау. Почему вообще допускается существование конфигурации 1/1? Почему атакующие смогли получить список внутренних RPC? Почему логика failover после DDoS доверяет загрязненным RPC, вместо того чтобы сразу остановить проверку или предпринять хоть что-то?» — возмутился известный исследователь в области блокчейна CM.

«Такое умышленное уклонение вызывает у меня сильное недовольство. В заявлении явно написано, что «протокол работал полностью согласно ожиданиям». А атака описывается как взлом RPC-узлов и их внедрение. Но внедрение вредоносных данных в RPC — это не просто так, их инфраструктура была взломана и повреждена. Поскольку в заявлении не указано, как именно произошел взлом, я не буду спешить с повторным включением моста», — отметил известный DeFi-разработчик Бантег.

Официальный представитель Kelp DAO также выступил с заявлением, что конфигурация единственного валидатора (1/1), которая привела к атаке, не является их игнорированием рекомендаций, а — стандартной настройкой в руководстве LayerZero, и что валидаторская сеть (DVN), использованная злоумышленником, — собственная инфраструктура LayerZero.

Согласно анализу Dune, из 2665 контрактов OApp, основанных на LayerZero, 47% используют конфигурацию 1/1 DVN, то есть односторонний механизм валидации, что значительно увеличивает риски отрасли.

Более страшно, чем сама проблема, — это то, что стороны инцидента отказываются признавать ошибки и избегают ответственности. LayerZero, как главный игрок в области межцепочечной коммуникации и нарратива Layer0, сотни криптопроектов используют его инфраструктуру для мостинга токенов и активов между цепями. Если продолжать демонстрировать высокомерие, это еще больше подорвет доверие к нему в индустрии.

Общественное мнение сходится во мнении, что, хотя LayerZero и не был взломан напрямую, его репутация пострадала сильнее всего — он должен заплатить цену за «разрешение слабых конфигураций», иначе нарратив межцепочечной связи рухнет.

То есть, LayerZero нужно не только предложить конкретные технические улучшения, но и взять на себя большую ответственность за компенсацию активов.

二、Layer2 已死？Arbitrum 的超常规冻结

Обсуждение Layer2 связано с действиями Arbitrum по заморозке. Сегодня днем совет безопасности Arbitrum выпустил заявление, в котором сообщил, что принял срочные меры для спасения 30 766 ETH, хранящихся на адресе Arbitrum One, что сейчас оценивается примерно в 71 миллион долларов.

Также в заявлении говорится, что после тщательного технического расследования совет безопасности выбрал и реализовал техническое решение, которое позволяет перевести средства в безопасное место без влияния на состояние других цепей или пользователей Arbitrum. Адрес, где хранились средства, больше не имеет доступа к этим активам, и только управляющая структура Arbitrum может предпринять дальнейшие действия по их перемещению, согласовав это с заинтересованными сторонами.

По мнению экспертов, совет безопасности использовал привилегированный тип транзакции (часть ArbOS, практически никогда не применявшуюся), которая позволяет злоумышленнику подписывать транзакции с помощью приватного ключа, однако ETH на этом адресе был переведен самой цепью.

Этот особый тип транзакции полностью обходил приватный ключ злоумышленника, и только сама цепь (через секвенсер / обновление ArbOS, управляемое советом Arbitrum) могла инициировать перевод.

Известно, что совет Arbitrum состоит из 12 человек, избранных DAO, и для принятия решений требуется согласие минимум 9 из них.

Это вызвало волну обсуждений. Ранее казалось, что Arbitrum, как представитель Layer2, не обладает возможностью или полномочиями управлять активами ETH пользователей, что противоречит духу децентрализации блокчейна.

В прошлых случаях хакеры могли быстро заморозить USDT, USDC через Tether и Circle, чтобы снизить потери пользователей. ETH — это нативный актив цепи, и ранее не было прецедентов, чтобы сама цепь могла его заморозить или перевести, что выходит за рамки ожиданий большинства пользователей.

Многие поддерживают действия Arbitrum, говоря, что «все компании, банки и официальные финансовые институты в конечном итоге перейдут на вторичные архитектуры. В критические моменты работать как централизованное учреждение — не недостаток, а преимущество». Но для технических гиков это кажется опасным.

«Без приватных ключей, без разрешений — просто перевод.» — по мнению многих, действия Arbitrum переопределяют уровень децентрализации Layer2, вызывая у них ощущение недостаточной безопасности.

Лань Ху прямо заявил, что этот инцидент уже затронул фундаментальные принципы DeFi: «Not Your keys, not your coins». Это возвращает нас к классической проблеме криптовалют: прагматизм безопасности против полной децентрализации.

Заключение

Когда LayerZero говорит, что «протокол работает полностью согласно ожиданиям», он сохраняет техническую правильность, но теряет доверие и репутацию; когда Arbitrum с помощью привилегированных транзакций перевел 71 миллион долларов ETH, он спас активы пользователей, но сильно ударил по нарративу децентрализации Layer2.

Кража Kelp подняла на суд сразу два самых популярных нарратива: мосты — это инфраструктура или риск-усилитель? Layer2 — это надежное расширение Ethereum или «второй банк» под прикрытием децентрализации?

LayerZero, из-за уязвимости одностороннего валидатора, и Arbitrum, использующий централизованный механизм голосования, — оба пытаются компенсировать потери, вызванные инцидентом. Это создает крайне ироничный замкнутый круг: самопровозглашенный децентрализованный протокол рушится из-за «одной точки уязвимости», а в итоге вынужден полагаться на «централизованные привилегии» другого протокола.

Это вынуждает индустрию столкнуться с вопросом, на который никогда не давался прямой ответ: когда идеал децентрализации сталкивается с реальной ценой безопасности, — какую сторону мы готовы пожертвовать?

Обсуждение масштабных нарративов — это общественный фокус, а вопросы компенсации — реальный аспект. Даже если Arbitrum удалось вернуть более 70 миллионов долларов, у Aave все еще есть почти 200 миллионов долларов плохого долга, и как защитить интересы пользователей?

В большинстве хакерских инцидентов потери в миллионы долларов — это катастрофа для протокола, а требования о возмещении зачастую остаются без ответа. Но в этом случае, с участием таких крупных проектов, как Aave и LayerZero, вопрос о решении плохого долга стоит особенно остро.

Сегодня Aave предложил два варианта решения: первый — распределить убытки между всеми держателями rsETH (социальное распределение потерь по всей цепи), при этом Kelp DAO проведет единое снижение стоимости всех rsETH (около 15%); второй — оставить убытки только на держателях rsETH на L2, а на основном сетевом уровне — сохранить текущую стоимость.

Однако, до сих пор Kelp DAO и официальные представители LayerZero не обсуждали свою роль в компенсационной схеме. Из их отчета видно, что проект считает, что не несет ответственности, если не было вины.

Но протокол с десятками миллиардов долларов оценки, являющийся базовой инфраструктурой для сотен проектов, при огромных потерях из-за дефолта DVN — выбирает «техническое освобождение от ответственности», что является сильной иронией по отношению к определению «инфраструктура».

Это классический пример дилеммы заключенного: все стороны, оказавшиеся в кризисе, пытаются минимизировать свои потери через «распределение выгод», а не через совместное решение проблемы доверия в отрасли.

С точки зрения негативных последствий для индустрии DeFi, это — один из самых опасных случаев дилеммы заключенного в истории.