Autor: Gu Yu, ChainCatcher
Más de 40 horas después del robo, las consecuencias desencadenadas por Kelp DAO siguen propagándose, involucrando cada vez más proyectos reconocidos como Aave, LayerZero y Arbitrum, e incluso llegando a someter algunos narrativas populares a un juicio de muerte.
El famoso KOL Feng Wuxiang declaró en la plataforma X que solo ETH es seguro, y ARB también ha autorizado la congelación de los activos de los clientes. Ningún L2 es realmente un L2. Los L2 nacieron con Arbitrum y también murieron con Arbitrum.
Otro conocido KOL, Lanhu, señaló que el mayor perjuicio de este incidente de kelp no fue Aave ni Kelp, sino Layerzero, simplemente porque es demasiado miope para comprender la esencia real del evento. La esencia de este incidente no es refutar las L2 (aunque las L2 falsas ya son problemáticas), sino refutar los puentes cruzados.
Cada vez más opiniones intensas aparecen en el ámbito público, con las partes involucradas en el evento defendiendo posiciones contrarias y echándose la culpa mutuamente, lo que convierte al robo de Kelp DAO en una ventana típica para observar la asignación de responsabilidad en incidentes de seguridad, así como el conflicto entre el pragmatismo y el tecno-fundamentalismo.
I. ¿Se ha refutado L0? Los puentes cruzados se convierten en los mayores perdedores
El punto clave del incidente es el informe detallado sobre el ataque cibernético publicado por LayerZero ayer, que inicialmente identifica al grupo Lazarus, con vínculos con Corea del Norte, como el autor del ataque. El ataque se llevó a cabo envenenando la infraestructura RPC descendente en la que confía su red de verificación descentralizada (DVN); los atacantes controlaron algunos nodos RPC y combinaron esto con un ataque DDoS para inducir al sistema a cambiar a nodos maliciosos, falsificando así transacciones entre cadenas.
“Utilizar nodos comprometidos para envenenar la infraestructura RPC, combinado con ataques DDoS contra RPC no afectados para forzar una conmutación por error, es una táctica extremadamente compleja. Es esencialmente una guerra de infraestructura,” evaluó Samuel Tse, Director de Inversiones y Colaboraciones de Animoca Brands.
Al final del informe, LayerZero indicó que el protocolo funcionó completamente según lo esperado durante todo el evento. No se encontraron vulnerabilidades en el protocolo. La característica central de la arquitectura de LayerZero es la seguridad modular, y en este caso, logró perfectamente su objetivo al aislar completamente el ataque dentro de una sola aplicación: el sistema tuvo un riesgo de contagio cero, y ninguna otra OFT u OApp se vio afectada.
Esta completa renuncia a la responsabilidad personal se convirtió en el detonante de una fuerte reacción pública, con numerosas figuras destacadas de la industria expresando su insatisfacción con el desempeño de LayerZero en este evento.
“L0 se lavó las manos por completo; en todo el artículo echó toda la culpa al error de configuración de KelpDAO, y ellos mismos no tuvieron ningún problema. Impresionante. ¿Por qué se permite la configuración 1/1? ¿Cómo logró el atacante acceder a la lista interna de RPC? ¿Por qué la lógica de failover, tras un ataque DDoS, confió directamente en los RPC contaminados en lugar de detener inmediatamente la validación, o siquiera hacer algo mínimo?” preguntó el reconocido investigador del sector CM.
“Esta actitud de evitación deliberada me resulta muy incómoda. El comunicado afirma claramente que ‘el protocolo funcionó según lo esperado’. El ataque se describe como una compromisión del nodo RPC y envenenamiento de RPC. Pero el envenenamiento de RPC no fue así; sus propias infraestructuras fueron invadidas y dañadas. Dado que el comunicado no explica cómo ocurrió la invasión, no me apresuraré a volver a activar el puente.” dijo el conocido desarrollador de DeFi, banteg.
Kelp DAO también emitió un comunicado oficial, indicando que la configuración de validador único (1/1) que provocó este ataque no fue una elección que ignorara las recomendaciones, sino la configuración predeterminada en las guías oficiales de LayerZero, y que la red de validadores aprovechada por los atacantes es una infraestructura propia de LayerZero.
Según el análisis de Dune, de los 2.665 contratos OApp basados en LayerZero, el 47% utiliza una configuración 1/1 DVN, es decir, un mecanismo de validación único, lo que multiplica drásticamente el riesgo en la industria.
Lo que es más aterrador que los problemas es que las partes involucradas no reconozcan los errores ni los eviten. LayerZero, como el principal jugador en comunicación entre cadenas y en la narrativa Layer0, es utilizado por cientos de proyectos criptográficos para conectar tokens y activos entre diferentes cadenas; si mantiene esta actitud arrogante, sin duda afectará aún más la confianza de la industria en ella.
La opinión generalizada es que, aunque LayerZero no fue directamente pirateada, sufrió el mayor daño a su reputación: debe pagar el precio por "permitir configuraciones débiles", de lo contrario, la narrativa de puente entre cadenas colapsará.
Es decir, LayerZero no solo necesita proponer mejoras técnicas claras, sino también asumir una mayor responsabilidad en el plan de compensación de activos.
Dos: ¿Ha muerto Layer2? La congelación extraordinaria de Arbitrum
La discusión sobre Layer2 proviene de la acción de congelación de Arbitrum. Hoy al mediodía, el Comité de Seguridad de Arbitrum anunció que había tomado medidas de emergencia para rescatar 30,766 ETH almacenados por el hacker en una dirección de Arbitrum One, con un valor actual de 71 millones de dólares.
Arbitrum también indicó que, tras una extensa investigación técnica y deliberación, el comité de seguridad identificó y ejecutó un plan técnico para transferir los fondos a un lugar seguro, sin afectar ningún otro estado de cadena ni a los usuarios de Arbitrum. La dirección que originalmente poseía los fondos ya no puede acceder a ellos, y solo la administración de Arbitrum puede tomar medidas adicionales para transferir estos fondos, acción que se llevará a cabo en coordinación con las partes relacionadas.
Según la interpretación de expertos de la industria, el comité de seguridad de Arbitrum utilizó un tipo de transacción de sobrescritura de estado con privilegios (que forma parte de ArbOS, pero que prácticamente nunca se ha utilizado) para permitir que la clave privada del atacante siga firmando transacciones, mientras que los ETH de esa dirección fueron transferidos por la propia cadena.
Este tipo de operación especial evita por completo la clave privada del atacante y solo puede ser inyectada por la propia cadena (a través de la ruta de actualización del sequencer / ArbOS, controlada por el Comité de Seguridad de Arbitrum).
Se informa que el Comité de Seguridad de Arbitrum está compuesto por 12 individuos elegidos por el Arbitrum DAO, y cualquier decisión requiere el acuerdo de al menos 9 de los 12.
Una piedra que levanta mil olas. Anteriormente, el exterior consideraba que Arbitrum, como representante de Layer2, no tenía la capacidad ni el permiso para manejar los activos ETH de los usuarios, ya que esto violaría el espíritu descentralizado de la blockchain.
En eventos de piratería anteriores, los hackers generalmente podían tener sus USDT y USDC congelados de inmediato por Tether y Circle para reducir las pérdidas de los usuarios. Como activo nativo de la cadena, ETH nunca ha sido congelado ni transferido por la propia cadena, lo que excede las expectativas de la mayoría de los usuarios.
Muchas opiniones apoyan el enfoque de Arbitrum, como “todas las empresas, bancos y instituciones financieras formales finalmente adoptarán arquitecturas secundarias. Operar como una entidad centralizada en momentos clave no es un defecto, sino una ventaja.” Pero no es así para muchos entusiastas técnicos.
“Sin clave privada, sin autorización, transferencia directa.” Desde muchas perspectivas, esta operación de Arbitrum redefine el grado de descentralización de Layer2, generando inseguridad entre quienes operan en Layer2.
Blue Fox直言,这次事件已直接触碰了DeFi的核心意识形态红线:“Not Your keys, not your coins”。这次事件又回到了加密的经典难题:实用主义的安全 vs 完全去中心化的安全。
Conclusión
Cuando LayerZero dijo que "el protocolo funcionó exactamente como se esperaba", mantuvo la corrección técnica pero perdió la opinión pública y la confianza; cuando Arbitrum transfirió 71 millones de dólares en ETH mediante transacciones privilegiadas, salvó los fondos de los usuarios pero dañó gravemente la narrativa de descentralización de Layer2.
El incidente de robo de Kelp lleva a juicio dos de las narrativas más populares: ¿son los bridges跨链 realmente infraestructura o amplificadores de riesgo? ¿Son las Layer2 realmente una expansión confiable de Ethereum o bancos de segundo nivel disfrazados con una fachada de descentralización?
LayerZero fue comprometido debido a su mecanismo de nodo de validación único, y Arbitrum utilizó un mecanismo de votación centralizado especial para recuperar las pérdidas de LayerZero y Kelp DAO. Esto constituye un bucle extremadamente irónico: un protocolo que se autoproclama descentralizado colapsa por su "punto único de fallo"; y finalmente debe recurrir al "privilegio centralizado" de otro protocolo para resolverlo.
Lo obliga a toda la industria a enfrentar una pregunta que nunca se ha respondido directamente: ¿cuál lado estamos dispuestos a sacrificar cuando el ideal descentralizado choca con el costo real de la seguridad?
La discusión sobre la gran narrativa es un foco de opinión pública, mientras que el plan de compensación para los usuarios es otro foco de opinión pública real. Aunque Arbitrum haya recuperado más de 70 millones de dólares mediante herramientas técnicas, Aave aún tiene cerca de 200 millones de dólares en morosos; ¿cómo se garantizará y protegerá adecuadamente el interés de los usuarios?
En la mayoría de los incidentes de piratería, las pérdidas de millones de dólares representan un desastre devastador para los protocolos, y la recuperación de los usuarios suele terminar sin resultado. Sin embargo, este incidente involucra proyectos destacados como Aave y Layerzero, cuyos planes de manejo de morosos han atraído mucha atención.
Aave propuso hoy dos posibles soluciones para el manejo de malas deudas: la primera es socializar las pérdidas entre todos los titulares de rsETH (carga compartida en toda la cadena), con una reducción uniforme del valor de rsETH por parte de Kelp DAO (tanto en mainnet como en L2) de aproximadamente un 15% de desvinculación; la segunda es hacer que solo los titulares de rsETH en L2 asuman todas las pérdidas, manteniendo el valor original de rsETH en mainnet.
Sin embargo, Kelp DAO y LayerZero oficialmente no han comentado sobre su papel en el plan de compensación. Desde la actitud de LayerZero en el informe de intentar desvincularse de la responsabilidad, es fácil ver que el proyecto considera que sin responsabilidad no hay obligación de compensación.
Sin embargo, que un protocolo con una valoración de miles de millones de dólares, considerado como dependencia fundamental por cientos de proyectos, elija una “exención técnica” frente a las pérdidas masivas causadas por la configuración predeterminada de DVN es, en sí mismo, una gran ironía respecto a la definición de “infraestructura subyacente”.
Este es un clásico dilema del prisionero, en el que las partes involucradas en la crisis intentan minimizar sus propias pérdidas mediante la “separación de intereses”, en lugar de asumir responsabilidades compartidas para reparar el déficit de confianza en la industria.
Desde el impacto negativo de este evento en todas las partes del sector, para el ámbito DeFi, esto será la prisión más peligrosa de la historia.