DeFi потрапила в найнебезпечнішу дилему в'язня в історії

Автор: Гу Юй, ChainCatcher

Більше ніж через 40 годин після крадіжки ланцюгова реакція, викликана Kelp DAO, продовжує набирати обертів, залучаючи все більше відомих проектів, таких як Aave, LayerZero та Arbitrum, і навіть досягаючи рівня, коли деякі популярні наративи стикаються зі смертним вироком.

Відомий KOL Фенг Ву Сян заявив на платформі X, що зараз безпечним є лише ETH, а ARB також дозволив заморожування та передачу активів клієнтів. Жоден L2 більше не є справжнім L2. L2 процвітав на Arbitrum і також загинув через це.

Інший відомий KOL, Blue Fox, висловив думку, що найбільша втрата від цього інциденту з Kelp - це не Aave або Kelp, а LayerZero, який просто занадто короткозорий, щоб побачити суть усього цього. Суть цієї події не в тому, щоб спростувати L2 (навіть якщо це підроблений L2), а в тому, щоб спростувати міжланцюгові мости.

У публічному дискурсі з'являється все більше інтенсивних думок, причому залучені сторони кожна дотримується своєї думки і перекладає провину, що робить інцидент з крадіжкою в DAO Kelp типовим вікном для спостереження за розподілом відповідальності в інцидентах безпеки та конфліктом між прагматизмом і технологічним фундаменталізмом.

1. Чи спростовано L0? Міжланцюгові мости як найбільший невдаха

Ключовим моментом інциденту є детальний звіт про хакерську атаку, опублікований LayerZero вчора, в якому зловмисника попередньо ідентифіковано як групу Lazarus із зв'язками з Північною Кореєю. Атака була здійснена шляхом отруєння інфраструктури віддалених викликів процедур (RPC), на яку покладається її децентралізована мережа верифікації (DVN), при цьому зловмисник контролював деякі вузли RPC і координував атаку типу DDoS, щоб змусити систему переключитися на шкідливі вузли, тим самим підробивши транзакції між ланцюгами.

"Використання скомпрометованих вузлів для отруєння інфраструктури RPC і поєднання цього з атаками типу DDoS на неуражені RPC для примусового перемикання є дуже складним методом. Це, по суті, війна за інфраструктуру", - прокоментував Семюел Це, керівник інвестицій та партнерства в Animoca Brands.

Наприкінці звіту LayerZero заявив, що протокол працював повністю відповідно до очікувань протягом усього інциденту. Жодних вразливостей у протоколі не було виявлено. Основною особливістю архітектури LayerZero є модульна безпека, і в цьому випадку вона ідеально досягла своєї мети, ізолювавши всю атаку до одного додатка - ризик зараження всієї системи нульовий, і інші OFT або OApp не постраждали.

Це повне звільнення від відповідальності стало причиною величезного негативу в громадській думці, багато відомих діячів галузі висловили невдоволення діями LayerZero під час цього інциденту.

«L0 повністю зняла з себе відповідальність, у всій статті провина була покладена на помилку конфігурації KelpDAO, стверджуючи, що у них взагалі не було жодних проблем. Неймовірно. Можна запитати, чому дозволено існування конфігурації 1/1? Чому зловмисник міг отримати доступ до внутрішнього списку RPC? Чому логіка резервування безпосередньо довіряла забрудненому RPC після DDoS, не зупиняючи перевірку або навіть не роблячи нічого?» - заперечив відомий дослідник галузі CM.

«Це навмисне уникнення мене дуже турбує. У заяві чітко сказано: "протокол працював повністю відповідно до очікувань". Атака описана як компрометація вузлів RPC та отруєння RPC. Але отруєння RPC не таке; їхня власна інфраструктура була захоплена та пошкоджена. Враховуючи, що в заяві не пояснюється, як відбулося вторгнення, я не поспішатиму знову вмикати міст», — сказав відомий розробник DeFi banteg.

Kelp DAO також відреагувала, заявивши, що конфігурація з одним валідатором (1/1), яка призвела до цієї атаки, була не вибором, зробленим всупереч порадам, а типовим налаштуванням в офіційних рекомендаціях LayerZero, а мережа валідаторів (DVN), яку використав зловмисник, є власною інфраструктурою LayerZero.

Згідно з аналізом Dune, серед 2665 контрактів OApp на основі LayerZero 47% використовують конфігурацію DVN 1/1, що є механізмом з одним валідатором, що значно збільшує ризик для галузі.

Більш страшним, ніж проблеми, що виникли, є відмова залучених сторін визнавати свої помилки та ухилятися від відповідальності. Як лідер у сфері міжланцюгової комунікації та наративів Layer0, сотні криптопроектів використовують її міжланцюгову інфраструктуру для об'єднання токенів і активів у різних ланцюжках. Якщо вона продовжить демонструвати зневажливу позицію, це неминуче ще більше вплине на довіру галузі до неї.

Громадська думка загалом вважає, що, хоча LayerZero не був безпосередньо зламаний, його репутація постраждала найбільше — він повинен заплатити ціну за «дозволення слабких конфігурацій», інакше наратив кросс-чейнів зазнає краху.

Іншими словами, LayerZero не лише повинен запропонувати чіткі заходи з технічного вдосконалення, але й повинен взяти на себе більше відповідальності в планах компенсації активів.

2. Чи мертвий Layer2? Надзвичайне заморожування Arbitrum

Обговорення Layer2 виникли через дії з заморожування Arbitrum. Сьогодні опівдні Комітет з безпеки Arbitrum оголосив, що вжив надзвичайних заходів для порятунку 30,766 ETH, що зберігалися на адресі Arbitrum One, яку захопив хакер, і наразі оцінюються в 71 мільйон доларів США.

Arbitrum також заявив, що після ретельного технічного розслідування та аналізу Комітет з безпеки визначив і здійснив технічне рішення щодо переказу коштів у безпечне місце, не впливаючи на стан жодного іншого ланцюжка або користувачів Arbitrum. З вихідної адреси, на якій зберігалися кошти, більше неможливо отримати доступ до них, і лише адміністрація Arbitrum може вжити подальших заходів щодо переказу цих коштів, що буде скоординовано з відповідними сторонами.

Згідно з інтерпретаціями галузі, Комітет з безпеки Arbitrum використав тип транзакції з накладенням привілейованого стану (частина ArbOS, але по суті ніколи не використовувався), що дозволило приватному ключу зловмисника все ще підписувати транзакції, але ETH з цієї адреси був переведений самим ланцюжком.

Цей спеціальний тип транзакції повністю обійшов приватний ключ зловмисника, і лише сам ланцюжок (через шлях оновлення послідовника/ArbOS, контрольований Комітетом з безпеки Arbitrum) міг його ввести.

Повідомляється, що Комітет безпеки Arbitrum складається з 12 осіб, обраних DAO Arbitrum, і будь-яке рішення вимагає згоди 9 з 12 членів.

Камінь підняв тисячу хвиль. Раніше здавалося, що Arbitrum, як представник Layer2, не мав можливості або повноважень для обробки активів ETH користувачів, оскільки це суперечить децентралізованому духу блокчейна.

У минулих випадках хакерських атак USDT і USDC, вкрадені хакерами, часто могли бути негайно заморожені Tether і Circle, щоб зменшити втрати користувачів. ETH, як рідний актив ланцюжка, історично ніколи не заморожувався і не передавався самим ланцюжком, що перевищує очікування більшості користувачів.

Багато точок зору підтримують дії Arbitrum, такі як: "Усі компанії, банки та легальні фінансові установи в кінцевому підсумку приймуть вторинну архітектуру. Функціонування як централізованого суб'єкта в критичні моменти є не недоліком, а перевагою". Однак для більш технічних гіків це не так.

"Немає потреби в приватних ключах, немає потреби в авторизації, прямий переказ". З багатьох точок зору, роботу Arbitrum цього разу можна назвати переосмисленням ступеня децентралізації Layer2, що змушує їх відчувати брак безпеки на Layer2.

Blue Fox прямо заявив, що цей інцидент безпосередньо торкнувся ідеологічної червоної лінії DeFi: "Не ваші ключі, не ваші монети". Цей інцидент повернув нас до класичної дилеми криптовалют: прагматична безпека проти повної децентралізованої безпеки.

Висновок

Коли LayerZero каже, що "протокол працював повністю так, як очікувалося", він зберіг технічну коректність, але втратив громадську думку та довіру; коли Arbitrum перевів 71 мільйон доларів США в ETH за допомогою привілейованих транзакцій, він зберіг кошти користувачів, але серйозно зашкодив наративу децентралізації Layer2.

Інцидент з крадіжкою в Kelp одночасно поставив на судовий розгляд два найпопулярніші наративи: Чи є інфраструктура кросс-чейн моста ризиком або підсилювачем ризику? Чи є Layer2 надійним розширенням Ethereum або вторинним банком, замаскованим під децентралізацію?

LayerZero був скомпрометований через механізм вузла з одним валідатором, тоді як Arbitrum використовував централізований спеціальний механізм голосування для відшкодування збитків LayerZero та Kelp DAO. Це створює надзвичайно іронічний замкнутий цикл: протокол, який пишається своєю децентралізацією, руйнується через свою "єдину слабку точку"; зрештою, йому доводиться покладатися на "централізований привілей" іншого протоколу для вирішення ситуації.

Це змушує всю галузь зіткнутися з питанням, на яке ніколи не було прямої відповіді: Коли ідеал децентралізації стикається з реальними витратами на безпеку, яку сторону ми готові пожертвувати?

Обговорення великих наративів є центром уваги громадської думки, тоді як плани компенсації користувачам є іншим реалістичним центром уваги. Навіть якщо Arbitrum відшкодує понад 70 мільйонів доларів США технічними засобами, Aave все ще стикається з майже 200 мільйонами доларів США проблемних боргів; як можна належним чином підтримувати та захищати інтереси користувачів?

У переважній більшості випадків хакерських атак втрати в десятки мільйонів доларів є катастрофічними для протоколів, а вимоги користувачів про компенсацію часто закінчуються невдачею. Однак цей інцидент залучає провідні зіркові проекти, такі як Aave та LayerZero, що робить обробку проблемних боргів дуже ретельно перевіреною.

Сьогодні Aave запропонував два можливі плани вирішення проблеми проблемних боргів: перший - це соціалізація збитків серед усіх власників rsETH (розподіл по всій мережі), причому Kelp DAO рівномірно знижує вартість усіх rsETH (основна мережа + L2) приблизно на 15% декоплювання; другий - це дозволити лише власникам rsETH на L2 нести всі збитки, тоді як rsETH в основній мережі зберігає свою початкову вартість.

Однак представники Kelp DAO та LayerZero ще не обговорювали свої ролі в плані компенсації. Зі спроби LayerZero звільнити себе від відповідальності в звіті неважко зрозуміти, що проект вважає, що без відповідальності немає зобов'язань щодо компенсації.

Однак протокол, вартість якого оцінюється в мільярди доларів, який вважається основною залежністю для сотень проектів, вибір "технічного звільнення" перед обличчям величезних збитків, спричинених типовою конфігурацією DVN, сам по собі є величезною іронією щодо визначення "основної інфраструктури".

Це типова ситуація з дилемою в'язня, коли всі сторони в кризі намагаються мінімізувати свої збитки через "зниження процентних ставок", а не відновлювати дефіцит довіри в галузі, розділяючи відповідальність.

Від негативного впливу цього інциденту на всі сторони в галузі, для сектора DeFi це буде найнебезпечніша дилема в'язня в історії.