DeFi потрапив у найнебезпечнішу у історії пастку ув'язненого

Автор: Гу Юй, ChainCatcher

Після понад 40 годин після крадіжки, ланцюгова реакція, викликана Kelp DAO, все ще продовжує розгортатися, залучаючи все більше відомих проектів, таких як Aave, LayerZero, Arbitrum, і навіть доходячи до рівня, коли деякі популярні наративи зазнають “смертного суду”.

Відомий KOL Фен Вусянг на платформі X заявив, що єдиною безпечною валютою залишився ETH, тоді як ARB вже дозволив заморожувати та переносити активи клієнтів. Жоден L2 не є справжнім L2, мабуть. L2 виник на Arbitrum, і також зник на Arbitrum.

Інший відомий KOL Лань Ху зазначив, що найбільшими втратами у цій інциденті зазнали не Aave і не Kelp, а LayerZero, але вона була надто короткозорою і не побачила суті події. Суть цієї події не у тому, що L2 було спростовано (хоча фейковий L2 і так), а у тому, що було спростовано міжланцюгові мости.

Все більше гострих точок зору з’являється у публічних дискусіях, учасники конфлікту висловлюють свої позиції і звинувачують один одного, що робить крадіжку Kelp DAO класичним прикладом для аналізу відповідальності за безпеку, конфлікту між прагматизмом і технічним фундаменталізмом.

1. Чи було спростовано L0? Міжланцюгові мости — найбільші програшники

Ключовим моментом інциденту став детальний звіт про хакерську атаку, опублікований LayerZero вчора, де попередньо вважається, що нападником є група Lazarus з Північної Кореї. Атака здійснена шляхом отруєння (токсичного впливу) їхньої децентралізованої верифікаційної мережі (DVN), яка залежить від підрядної RPC інфраструктури. Зловмисник контролює частину RPC-нодів і разом із DDoS-атаками змушує систему переключатися на зловмисні ноди, підробляючи міжланцюгові транзакції.

“Використання зламаних нод для отруєння RPC інфраструктури і поєднання цього з DDoS-атаками для примусового перемикання — дуже складна тактика. Це по суті інфраструктурна війна,” — оцінює керівник з інвестицій і співпраці Animoca Brands Семюел Цзе.

У кінці звіту LayerZero заявив, що протокол працював цілком відповідно до очікувань. Виявлено не було жодних вразливостей. Основна характеристика архітектури LayerZero — модульна безпека, і у цьому випадку вона ідеально виконала свою функцію, ізолювавши весь напад у межах одного застосунку — вся система залишилася без ризику поширення, і інші OFT або OApp не постраждали.

Такий повний відхід від відповідальності став каталізатором сильної хвилі критики, багато відомих фахівців галузі висловлюють незадоволення діями LayerZero у цьому інциденті.

“LayerZero вийшов чистим, вся відповідальність перекладена на неправильну конфігурацію KelpDAO, а вони самі — ніби й не мають жодних проблем. Це неймовірно. Питання: чому дозволили існування конфігурації 1/1? Чому внутрішній список RPC був доступний зловмиснику? Чому логіка failover після DDoS довіряє забрудненим RPC і не зупиняє валідацію, або хоча б не робить нічого?” — запитує відомий дослідник CM.

“Такий навмисний ухил у відповідальності викликає у мене сильне незадоволення. У заяві чітко написано, що ‘протокол працював цілком відповідно до очікувань’. А атака описується як злом RPC-нодів і їх отруєння. Але отруєння RPC — це не просто так, їх інфраструктура була зламаною і пошкодженою. Оскільки у заяві не пояснено, як саме сталася ця злом, я не поспішаю знову запускати міст.” — каже відомий DeFi-розробник Бантег.

Офіційна позиція Kelp DAO також прозвучала, зазначивши, що конфігурація одного валідатора (1/1), яка спричинила цю атаку, не є їхнім ігноруванням рекомендацій, а — стандартною налаштуванням у керівництві LayerZero, і що валідаторська мережа (DVN), яку використовував зловмисник, — це власна інфраструктура LayerZero.

За аналізом Dune, серед 2665 контрактів OApp, побудованих на LayerZero, 47% використовують конфігурацію 1/1 DVN, тобто один валідатор, що значно збільшує ризики для галузі.

Ще гірше, ніж сама проблема, — це те, що учасники відмовляються визнавати помилки і ухиляються від відповідальності. LayerZero, як головний гравець у міжланцюговій комунікації та у наративі Layer0, сотні криптопроектів використовують його інфраструктуру для мосту між різними ланцюгами. Якщо ж вони продовжать цю зарозумілу позицію, це ще більше підірве довіру до них у галузі.

Загалом, громадськість вважає, що LayerZero, хоча й не був безпосередньо зламаний, — найбільше постраждав у репутаційному плані: він має заплатити ціну за “дозвіл на слабку конфігурацію”, інакше міжланцюгові наративи можуть зазнати краху.

Тобто, LayerZero потрібно не лише запропонувати чіткі технічні покращення, а й взяти на себе більшу відповідальність у компенсаційних схемах.

2. Layer2 мертвий? Надзвичайне замороження Arbitrum

Обговорення Layer2 зосереджене на дії Arbitrum щодо замороження. Сьогодні в обід, безпекова рада Arbitrum опублікувала повідомлення, що вжила екстрених заходів для порятунку 30 766 ETH, збережених у адресі Arbitrum One, що зараз оцінюється приблизно у 71 мільйон доларів.

Також у заяві зазначено, що після ґрунтовного технічного дослідження і обговорень, рада безпеки ухвалила і реалізувала технічне рішення, яке дозволяє перемістити кошти у безпечне місце без порушення стану інших ланцюгів або користувачів Arbitrum. Адреса, що володіла цими коштами, вже не має доступу до них, і лише керівництво Arbitrum може вжити подальших дій для їх переміщення, узгоджуючи це з усіма сторонами.

За інтерпретацією експертів, рада безпеки Arbitrum застосувала привілейований тип транзакції (частина ArbOS, але майже ніколи не використовуваний), що дозволяє приватним ключам нападника підписувати транзакції, але ETH на цій адресі фактично переводиться мережею.

Цей особливий тип транзакції обходить приватний ключ нападника, і лише сама мережа (через секюенсер / оновлення ArbOS, під контролем ради безпеки Arbitrum) може інжектувати такі транзакції.

Відомо, що рада безпеки Arbitrum складається з 12 осіб, обраних DAO, і для ухвалення будь-якого рішення потрібно згода 9 з них.

Це викликало великий резонанс. Раніше вважалося, що Arbitrum, як один із найпопулярніших Layer2, не має можливості або прав для управління ETH-активами користувачів, що суперечить ідеї децентралізації блокчейну.

У минулому, у випадках хакерських атак, зловмисники могли швидко заморозити USDT, USDC через Tether і Circle, щоб зменшити збитки користувачів. ETH — це нативний актив мережі, і раніше не було прецедентів, щоб його можна було заморожувати або переносити мережею, що виходить за межі очікувань більшості користувачів.

Багато експертів підтримують дії Arbitrum, кажучи, що “усі компанії, банки і регульовані фінансові установи зрештою перейдуть на другий рівень. У критичних ситуаціях діяти як централізована структура — не недолік, а перевага.” Але для технічних гіків це не так.

“Без приватного ключа, без дозволу — просто переказ.” — у багатьох точках зору, цей випадок переосмислює рівень децентралізації Layer2, що викликає у них відчуття нестабільності.

Лань Ху прямо заявив, що ця подія вже зачепила основні ідеологічні цінності DeFi: “Not Your keys, not your coins”. Це повертає нас до класичної дилеми у крипто: прагматична безпека проти повної децентралізації.

Заключення

Коли LayerZero каже, що “протокол працював цілком відповідно до очікувань”, він зберіг технічну правильність, але програв у публічній довірі; коли Arbitrum за допомогою привілейованих транзакцій перемістив ETH на 71 мільйон доларів, він врятував активи користувачів, але серйозно підірвав ідею децентралізації Layer2.

Крадіжка у Kelp підняла на суд два найгарячіших наративи: чи є міжланцюговий міст просто інфраструктурою чи ризикованим посилювачем? Чи Layer2 — це надійне розширення Ethereum, чи просто “друге” банківське відділення з децентралізованим фасадом?

Через те, що LayerZero був зломаний через механізм одного валідатора, а Arbitrum застосував централізовану особливу систему голосування для відшкодування збитків LayerZero і Kelp DAO, утворюється іронічний замкнутий цикл: протокол, що позиціонує себе як децентралізований, руйнується через “одну точку вразливості”, і в кінцевому підсумку змушений покладатися на “централізовані привілеї” іншого протоколу.

Це ставить перед галуззю питання, яке ніколи не отримувало прямої відповіді: коли ідеал децентралізації стикається з реальністю безпеки — що ми готові пожертвувати?

Обговорення масштабних наративів залишається головним фокусом громадської думки, але питання компенсації користувачам — ще один важливий аспект. Навіть якщо Arbitrum поверне понад 70 мільйонів доларів, у Aave досі залишається борг близько 200 мільйонів, і як захистити інтереси користувачів — питання відкриті.

У більшості випадків крадіжки на рівні десятків мільйонів — це катастрофа для протоколу, і відшкодування зазвичай не відбувається. Але у цій ситуації, де задіяні провідні проекти, такі як Aave і LayerZero, питання про обробку боргів привертає особливу увагу.

Aave сьогодні запропонував два варіанти вирішення боргу: перший — розподіл збитків між усіма власниками rsETH (загальне навантаження), зниження вартості rsETH на основній мережі і L2 приблизно на 15%; другий — щоб збитки несли лише власники rsETH на L2, тоді як на основній мережі rsETH зберігатиме свою цінність.

Проте, Kelp DAO і офіційний LayerZero досі не обговорювали свою роль у схемі компенсації. З їхнього звіту видно, що проект вважає, що без відповідальності — немає й обов’язку компенсувати.

Але протокол із десятками мільярдів доларів оцінки, що є базою для сотень проектів, і при цьому обирає “технічне звільнення” у разі великих збитків через DVN — це сама іронія щодо визначення “інфраструктури”.

Це класичний дилема “злочинця і жертви”: всі учасники у кризовій ситуації намагаються мінімізувати свої втрати через “розподіл вигод”, а не через спільне відшкодування і відновлення довіри у галузі.

З урахуванням негативного впливу цієї події на галузь, для DeFi це стане однією з найнебезпечніших ситуацій у історії — справжнім “злочинцем у пастці”.