DeFi попал в самое опасное в истории дилемму заключённого

Автор: Гу Ю, ChainCatcher

После более чем 40 часов после кражи, цепная реакция, вызванная Kelp DAO, все еще продолжает набирать обороты, и все больше известных проектов, таких как Aave, LayerZero, Arbitrum и другие, вовлекаются, достигая уровня, когда некоторые популярные нарративы подвергаются смертельному суду.

Известный KOL Фэн Вэйсян в платформе X заявил, что только ETH остается безопасным, ARB также разрешил заморозить и перевести активы клиентов. Ни один L2, по его мнению, уже не является настоящим L2. L2 возник на базе Arbitrum, и также погиб на базе Arbitrum.

Другой известный KOL Лань Ху отметил, что наибольшие потери в этом инциденте понесли не Aave и не Kelp, а LayerZero, просто оно было слишком короткозорким и не увидело сути всей ситуации. Суть этого события не в опровержении L2 (даже если это фейковый L2), а в опровержении межцепочечных мостов.

Все больше и больше острых мнений появляется в общественном мнении, стороны конфликта спорят и перекладывают вину друг на друга, что делает кражу из Kelp DAO классическим примером для анализа ответственности за безопасность, конфликта прагматизма и технического фундаментализма.

I. Л0 опровергнут? Межцепочечные мосты — крупнейшие проигравшие

Ключевым моментом инцидента стал подробный отчет о хакерской атаке, опубликованный LayerZero вчера, предварительно предполагается, что злоумышленник — группа Lazarus с корейским происхождением. Атака осуществлялась через внедрение вредоносных данных в децентрализованную проверочную сеть (DVN), которая зависит от RPC-инфраструктуры. Злоумышленник контролировал часть RPC-узлов и в сочетании с DDoS-атакой заставил систему переключиться на вредоносные узлы, что позволило сфальсифицировать межцепочечные транзакции.

«Использование взломанных узлов для внедрения вредоносных данных в RPC-инфраструктуру и комбинирование этого с DDoS-атакой на неуязвимые RPC — очень сложная тактика. По сути, это инфраструктурная война», — оценил руководитель по инвестициям и партнерствам Animoca Brands Сэмюэл Цзе.

В конце отчета LayerZero заявил, что протокол полностью работал согласно ожиданиям. В системе не обнаружено уязвимостей. Основная особенность архитектуры LayerZero — модульная безопасность, и в этом случае она идеально реализовала задуманное, изолировав всю атаку внутри одного приложения — вся система осталась без заражения, другие OFT или OApp не пострадали.

Полное отрицание собственной ответственности стало триггером для сильной общественной реакции, многие известные специалисты выразили недовольство поведением LayerZero в этом инциденте.

«L0 полностью очистил себя, всю вину свалил на неправильную настройку KelpDAO, сам же не имеет никаких проблем. Невероятно. Почему допускается существование конфигурации 1/1? Почему внутренний список RPC может попасть к злоумышленнику? Почему логика failover после DDoS сразу доверяет загрязненным RPC, не остановив проверку или не предприняв хотя бы минимальных мер?» — спросил известный исследователь в области блокчейна CM.

«Такое умышленное избегание ответственности вызывает у меня дискомфорт. В заявлении явно написано, что «протокол работал полностью согласно ожиданиям». А атака описывается как взлом RPC-узлов и внедрение вредоносных данных, но внедрение вредоносных данных — это не просто атака на RPC, их инфраструктура действительно была взломана и повреждена. Поскольку в заявлении не указано, как именно произошел взлом, я не буду спешить с повторным включением моста», — отметил известный DeFi-разработчик Бантег.

Официальный представитель Kelp DAO также выступил, заявив, что использование единственного валидатора (1/1) в конфигурации не было их игнорированием рекомендаций, а являлось стандартной настройкой в руководстве LayerZero, и что злоумышленник использовал собственную инфраструктуру (DVN) LayerZero.

По данным анализа Dune, среди 2665 контрактов OApp, основанных на LayerZero, 47% используют конфигурацию 1/1 DVN, то есть механизм единственного валидатора, что значительно увеличивает риски отрасли.

Более страшно, чем сама проблема, — это то, что стороны отказываются признавать ошибки и избегают ответственности. LayerZero, как главный игрок в межцепочечной коммуникации и нарративе Layer0, обслуживает сотни криптопроектов, использующих его инфраструктуру для мостинга токенов и активов между цепями. Если продолжать в том же духе, это подорвет доверие к нему в отрасли.

Общественное мнение сходится во мнении, что, хотя LayerZero и не был взломан напрямую, его репутация пострадала сильнее всего — он должен заплатить цену за «разрешение слабых конфигураций», иначе нарратив межцепочечной связи рухнет.

То есть, LayerZero нужно не только предложить конкретные технические улучшения, но и взять на себя большую ответственность за компенсацию активов.

II. Layer2 мертв? Необычное замораживание Arbitrum

Обсуждение Layer2 связано с действиями Arbitrum по заморозке. Сегодня в обед, Совет безопасности Arbitrum выпустил заявление, в котором сообщил, что принял срочные меры для спасения 30 766 ETH, хранящихся на адресе Arbitrum One, что сейчас оценивается в 71 миллион долларов.

Также в заявлении говорится, что после тщательного технического анализа и обсуждений Совет безопасности принял и реализовал техническое решение, которое позволяет перевести средства в безопасное место без влияния на состояние других цепочек или пользователей Arbitrum. Адреса, с которых изначально хранились средства, больше не имеют доступа к этим активам, и только управляющая структура Arbitrum может предпринять дальнейшие действия по их перемещению, согласовав это с заинтересованными сторонами.

По мнению экспертов, Совет безопасности Arbitrum использовал привилегированный тип транзакции (часть ArbOS, практически никогда не применявшуюся), которая позволяет злоумышленнику подписывать транзакции с помощью своего приватного ключа, однако ETH на этом адресе был переведен самим блокчейном.

Этот особый тип транзакции полностью обходил приватный ключ злоумышленника, и только сама цепочка (через секьюенсер / обновление ArbOS, управляемое Советом безопасности Arbitrum) могла инициировать перевод.

Известно, что Совет безопасности Arbitrum состоит из 12 человек, избранных DAO, и для принятия решений требуется согласие минимум 9 из них.

Это вызвало волну обсуждений. Ранее казалось, что Arbitrum, как представитель Layer2, не обладает полномочиями и возможностями управлять активами ETH пользователей, что противоречит принципам децентрализации блокчейна.

В прошлых случаях хакеры могли быстро заморозить USDT, USDC через Tether и Circle, чтобы снизить потери пользователей. ETH — это нативный актив цепи, и ранее не было прецедентов, чтобы сама цепочка могла замораживать и переводить ETH, что выходит за рамки ожиданий большинства пользователей.

Многие поддерживают действия Arbitrum, говоря, что «все компании, банки и финансовые учреждения в конечном итоге перейдут на вторичные архитектуры. В критический момент работать как централизованное учреждение — не недостаток, а преимущество». Но для технических гиков это кажется опасным.

«Без приватного ключа, без разрешения — просто перевод.» Многие считают, что действия Arbitrum переопределяют уровень децентрализации Layer2, что вызывает у них ощущение недостаточной безопасности.

Лань Ху прямо заявил, что этот инцидент уже затронул основополагающие принципы DeFi: «Not Your keys, not your coins». Это возвращает нас к классической дилемме криптовалют: прагматичная безопасность против полной децентрализации.

Заключение

Когда LayerZero говорит, что «протокол полностью соответствует ожиданиям», он сохраняет техническую правильность, но теряет доверие и репутацию; когда Arbitrum с помощью привилегированных транзакций перевел 71 миллион долларов ETH, он спас активы пользователей, но сильно ударил по нарративу децентрализации Layer2.

Кража из Kelp подняла на суд сразу два самых популярных нарратива: что такое межцепочечный мост — инфраструктура или риск-усилитель? Является ли Layer2 надежным расширением Ethereum или это просто вторичный банк, прикрытый децентрализацией?

LayerZero, из-за уязвимости в механизме одного валидатора, был взломан, а Arbitrum использовал централизованный механизм голосования для спасения LayerZero и Kelp DAO. Это создает крайне ироничную цепочку: самопровозглашенный децентрализованный протокол рухнул из-за «одной точки уязвимости», и в итоге вынужден полагаться на «централизованные привилегии» другого протокола.

Это вынуждает всю индустрию столкнуться с вопросом, на который еще не было дано прямого ответа: когда идеал децентрализации сталкивается с реальной ценой безопасности, — какую сторону мы готовы пожертвовать?

Обсуждение масштабных нарративов — это один аспект общественного мнения, а компенсация пострадавших — другой, более приземленный аспект. Даже если Arbitrum удалось вернуть более 70 миллионов долларов, у Aave все еще есть почти 200 миллионов долларов непогашенного долга, и как защитить интересы пользователей?

В большинстве случаев хакерских атак потери в миллионы долларов — это катастрофа для протокола, а требования о возмещении зачастую остаются без ответа. Но в этом случае, с участием таких крупных проектов, как Aave и LayerZero, вопрос о компенсации становится особенно острым.

Сегодня Aave предложил два варианта решения: первый — разделить убытки между всеми держателями rsETH (распределение по всей цепочке), снизив стоимость всех rsETH (примерно на 15%); второй — оставить все убытки только на L2, а стоимость rsETH на основном сетевом уровне оставить без изменений.

Однако, до сих пор Kelp DAO и официальные представители LayerZero не обсуждали свою роль в компенсационной схеме. Из отчета LayerZero видно, что проект считает, что не несет ответственности за ущерб, поскольку не было нарушений в их системе.

Но协议 с десятками миллиардов долларов оценки и сотнями проектов, которые используют его как базовую инфраструктуру, выбирает «техническое освобождение от ответственности» при огромных потерях из-за конфигурации DVN — это сама по себе ирония определения «инфраструктуры».

Это классический пример дилеммы заключенного: все стороны, оказавшиеся в кризисе, пытаются минимизировать свои потери за счет разделения выгод, а не совместных усилий по восстановлению доверия в отрасли.

С учетом негативных последствий этого инцидента для всей индустрии, для DeFi это может стать самым опасным примером дилеммы заключенного в истории.