DeFi потрапив у найнебезпечнішу у історії пастку «дилеми ув'язненого»

Автор: Гу Юй, ChainCatcher

Після понад 40 годин після крадіжки, ланцюгова реакція, викликана Kelp DAO, все ще продовжує розгортатися, залучаючи все більше відомих проектів, таких як Aave, LayerZero, Arbitrum, і навіть доходячи до рівня, коли деякі популярні наративи зазнають “смертного суду”.

Відомий KOL Фен Вусянь на платформі X заявив, що лише ETH є безпечним, ARB також дозволив заморожувати та переводити активи клієнтів. Жоден L2 не є справжнім L2, мабуть. L2 виник на Arbitrum, і також зник на Arbitrum.

Інший відомий KOL Лань Ху сказав, що найбільшими втратами у цій аварії Kelp є не Aave і не Kelp, а LayerZero, але вона була надто короткозорою і не побачила суті всього інциденту. Суть цього інциденту не у тому, що L2 було спростовано (хоча фейковий L2 і так), а у тому, що було спростовано міжланцюговий міст.

Все більше і більше гострих точок зору з’являється у громадськості, учасники події висловлюють протилежні думки і звинувачують один одного, що робить крадіжку Kelp DAO прикладом для аналізу відповідальності за безпеку, конфлікту між прагматизмом і технічним фундаменталізмом.

1. L0 спростовано? Міжланцюгові мости стали найбільшими програшниками

Ключовим моментом події став детальний звіт про хакерську атаку, опублікований LayerZero вчора, де попередньо вважається, що нападником є група Lazarus з Північної Кореї. Атака здійснювалася шляхом отруєння залежної від децентралізованої верифікаційної мережі (DVN) інфраструктури RPC, контрольованої атакуючими, шляхом підміни частини RPC вузлів і DDoS-атаки, що змусило систему перейти до зловмисних вузлів, фальсифуючи міжланцюгові транзакції.

“Використання зламаних вузлів для отруєння RPC інфраструктури, у поєднанні з DDoS-атаками на неуразливі RPC для примусового перемикання — це дуже складна техніка. Це по суті інфраструктурна війна,” — оцінив керівник інвестицій та співпраці Animoca Brands Семюел Цзе.

У кінці звіту LayerZero заявив, що протокол працював цілком відповідно до очікувань. Виявлено не було жодних вразливостей. Основна характеристика архітектури LayerZero — модульна безпека, і у цьому випадку вона ідеально виконала свою функцію, ізолювавши весь напад у межах одного застосунку — ризик зараження системи був нульовим, і інші OFT або OApp не постраждали.

Такий повний відхід від відповідальності став каталізатором значної хвилі обурення, багато відомих фахівців галузі висловили незадоволення діями LayerZero у цій ситуації.

“LayerZero вичистив себе, весь інцидент переклав на неправильну конфігурацію KelpDAO, а сам — ніби й проблем не має. Вражає. Питання: чому дозволили існування конфігурації 1/1? Чому внутрішній список RPC був доступний зловмиснику? Чому логіка failover при DDoS одразу довіряє забрудненим RPC, замість того, щоб одразу припинити верифікацію або зробити бодай щось?” — запитує відомий дослідник CM.

“Такий навмисний ухил мене дуже непокоїть. У заяві чітко написано, що ‘протокол працював цілком відповідно до очікувань’. А атака описується як злом RPC вузлів і їх отруєння. Але отруєння RPC — це не просто так, їх інфраструктура була зламаною і пошкодженою. Оскільки у заяві не пояснено, як саме відбувся злом, я не поспішаю знову запускати міст,” — каже відомий DeFi-розробник Бантег.

Офіційна позиція Kelp DAO також з’явилася, заявивши, що конфігурація одного валідатора (1/1), яка спричинила цю атаку, не є ігноруванням рекомендацій, а є стандартною налаштуванням у керівництві LayerZero, і що валідаторська мережа (DVN), яку використовували зловмисники, — це власна інфраструктура LayerZero.

Згідно з аналізом Dune, серед 2665 контрактів OApp, побудованих на LayerZero, 47% використовують конфігурацію 1/1 DVN, тобто один валідатор, що значно збільшує ризики для галузі.

Ще більш тривожним є те, що учасники не визнають помилок і ухиляються від відповідальності. LayerZero, як головний гравець у міжланцюговій комунікації та у нарративі Layer0, використовується сотнями криптопроектів для мосту між різними ланцюгами токенів і активів. Якщо вони продовжать зберігати цю зарозумілість, це може ще більше підірвати довіру до галузі.

Громадськість вважає, що хоча LayerZero і не був безпосередньо зламаний, його репутація зазнала найбільших втрат — він має заплатити ціну за “дозвіл на слабку конфігурацію”, інакше міжланцюговий нарратив може зруйнуватися.

Іншими словами, LayerZero потрібно не лише запропонувати чіткі технічні покращення, а й взяти на себе більшу відповідальність у компенсаційних схемах.

2. Layer2 помер? Надзвичайне замороження Arbitrum

Обговорення Layer2 з’явилися через дії Arbitrum щодо замороження. Сьогодні вдень Комітет безпеки Arbitrum опублікував повідомлення, що вжиті екстрені заходи для порятунку 30 766 ETH, збережених у адресі Arbitrum One, що зараз оцінюється приблизно у 71 мільйон доларів.

Також у повідомленні зазначено, що після ґрунтовного технічного дослідження та обговорень, комітет безпеки ухвалив і реалізував технічне рішення, яке дозволяє перевести кошти у безпечне місце без порушення стану інших ланцюгів або користувачів Arbitrum. Адреса, що володіла цими коштами, більше не має доступу до них, і лише керівництво Arbitrum може вжити подальших дій для їх переказу, узгоджуючи це з усіма сторонами.

Згідно з інтерпретацією галузі, команда Arbitrum застосувала привілейований тип транзакції (частина ArbOS, але майже ніколи не використовуваний), що дозволяє приватним ключам нападника підписувати транзакції, але ETH з цієї адреси фактично переводиться мережею.

Цей особливий тип транзакції обходить приватний ключ нападника, і лише сама мережа (через секюенсер / оновлення ArbOS, контрольоване Комітетом безпеки Arbitrum) може інжектувати такі транзакції.

Відомо, що у Комітету безпеки Arbitrum 12 осіб, обраних DAO, і для ухвалення будь-якого рішення потрібно згода 9 з них.

Це викликало великий резонанс. Раніше вважалося, що Arbitrum, як представник Layer2, не має можливості або прав для управління ETH-активами користувачів, що суперечить ідеї децентралізації блокчейну.

У минулому випадку хакери крали USDT, USDC, які могли швидко заблокувати Tether і Circle, щоб зменшити збитки користувачів. ETH — це нативний актив мережі, і раніше не було прецедентів, щоб його блокували або переводили самі мережі, що виходить за межі очікувань більшості користувачів.

Багато експертів підтримують дії Arbitrum, кажучи, що “усі компанії, банки і регуляторні фінансові установи зрештою перейдуть на другий рівень. У критичних ситуаціях діяти як централізована структура — це не недолік, а перевага.” Але для технічних гіків це не так.

“Без приватного ключа, без дозволу — просто переказ,” — вважають багато, і ця операція фактично переосмислює рівень децентралізації Layer2, що викликає у них відчуття нестабільності.

Лань Ху прямо заявив, що ця подія вже зачепила основні ідеологічні цінності DeFi: “Not Your keys, not your coins” — “Не твої ключі, не твої монети”. Це повертає нас до класичної дилеми у крипто: прагматична безпека проти повної децентралізації.

Заключення

Коли LayerZero каже, що “протокол працював цілком відповідно до очікувань,” він зберіг технічну правильність, але програв у громадській довірі; коли Arbitrum за допомогою привілейованих транзакцій перевів ETH на 71 мільйон доларів, він врятував активи користувачів, але серйозно підірвав нарратив децентралізації Layer2.

Крадіжка Kelp одночасно поставила під сумнів два найпопулярніших наративи: чи є міжланцюговий міст просто інфраструктурою чи ризикованим посилювачем? Чи Layer2 — це надійне розширення Ethereum, чи просто “другий банк” у дусі децентралізації?

Через те, що LayerZero був зламаний через механізм одного валідатора, а Arbitrum застосував централізоване спеціальне голосування для відшкодування збитків LayerZero і Kelp DAO, утворюється іронічний замкнутий цикл: протокол, що хвалиться децентралізацією, руйнується через “одну точку вразливості,” і в кінцевому підсумку змушений покладатися на “централізовані привілеї” іншого протоколу.

Це ставить перед галуззю питання, яке ніколи не отримувало прямої відповіді: коли ідеал децентралізації стикається з реальністю безпеки — що ми готові пожертвувати?

Обговорення масштабних наративів залишається головним фокусом громадськості, але питання компенсації користувачам — ще один важливий аспект. Навіть якщо Arbitrum і вдалося повернути понад 7 мільйонів доларів, у Aave залишається близько 200 мільйонів у боргах, і як захистити інтереси користувачів — питання відкриті.

У більшості випадків крадіжки на рівні десятків мільйонів доларів — це катастрофа для протоколу, і вимоги про компенсацію зазвичай залишаються без відповіді. Але у цій ситуації, де задіяні провідні проекти, такі як Aave і LayerZero, питання про обробку боргів привертає особливу увагу.

Aave сьогодні запропонував два варіанти вирішення боргів: перший — розподіл збитків між усіма власниками rsETH (загальне навантаження), зниження вартості rsETH на основній мережі і L2 (приблизно на 15%); другий — щоб усі збитки несли лише власники rsETH на L2, тоді як на основній мережі rsETH зберігатиме свою цінність.

Проте, Kelp DAO і офіційний LayerZero досі не обговорювали свою роль у компенсаційних схемах. З їхнього звіту видно, що проект вважає, що без відповідальності — немає й обов’язку компенсувати.

Але протокол із десятками мільярдів доларів оцінки, що є базою для сотень проектів, і при цьому обирає “технічне звільнення” у разі великих збитків через DVN — це сама іронія щодо визначення “інфраструктури” як такої.

Це класичний сценарій “злочинця-узника”: всі учасники у кризовій ситуації намагаються мінімізувати свої втрати через “розподіл вигод,” а не через спільне відшкодування і відновлення довіри у галузі.

З урахуванням негативного впливу цієї події на галузь, для DeFi це стане однією з найнебезпечніших ситуацій у історії — “злочинця-узника”.