Autor: Gu Yu, ChainCatcher
Más de 40 horas después del robo, las consecuencias desencadenadas por Kelp DAO siguen propagándose, involucrando cada vez más proyectos conocidos como Aave, LayerZero y Arbitrum, e incluso llegando a algunos narrativas populares que sufren un juicio de muerte.
El conocido KOL Feng Wuxiang declaró en la plataforma X que solo ETH es seguro, y ARB también ha autorizado la congelación de los activos de los clientes. Ningún L2 es realmente un L2. Los L2 nacieron con Arbitrum y también murieron con Arbitrum.
Otro conocido KOL, Lanhu, señaló que el mayor perjuicio de este incidente de kelp no fue Aave ni Kelp, sino Layerzero, simplemente porque es demasiado miope para comprender la esencia real del evento. La esencia de este incidente no es refutar las L2 (aunque las L2 falsas ya son problemáticas), sino refutar los puentes cruzados.
Cada vez más opiniones intensas aparecen en el ámbito público, con las partes involucradas en el evento defendiendo posturas contradictorias y echándose la culpa mutuamente, lo que convierte al robo de Kelp DAO en una ventana típica para observar la asignación de responsabilidad en incidentes de seguridad, así como el conflicto entre el pragmatismo y el tecno-fundamentalismo.
I. ¿Se ha refutado L0? Los puentes cruzados se convierten en los mayores perdedores
El punto clave del incidente es el informe detallado sobre el ataque cibernético publicado por LayerZero ayer, que inicialmente identifica al grupo Lazarus, con vínculos con Corea del Norte, como el autor del ataque. El ataque se llevó a cabo envenenando la infraestructura RPC descendente en la que confía su red de verificación descentralizada (DVN); los atacantes controlaron algunos nodos RPC y combinaron esto con un ataque DDoS para inducir al sistema a cambiar a nodos maliciosos, falsificando así transacciones entre cadenas.
“Utilizar nodos comprometidos para envenenar la infraestructura RPC, combinado con ataques DDoS contra RPC no afectados para forzar una conmutación por error, es un método extremadamente complejo. Es esencialmente una guerra de infraestructura,” comentó Samuel Tse, Director de Inversiones y Colaboraciones de Animoca Brands.
Al final del informe, LayerZero indicó que el protocolo funcionó completamente según lo esperado durante todo el evento. No se encontraron vulnerabilidades en el protocolo. La característica central de la arquitectura de LayerZero es la seguridad modular, y en este caso, logró perfectamente su objetivo al aislar completamente el ataque dentro de una sola aplicación: el sistema tuvo cero riesgo de contagio, y ningún otro OFT u OApp se vio afectado.
Esta completa renuncia a la responsabilidad propia se convirtió en el detonante de una fuerte reacción pública, con numerosas figuras destacadas de la industria expresando su insatisfacción con el desempeño de LayerZero en este evento.
“L0 se lavó las manos por completo; en todo el artículo, echó toda la culpa por el error de configuración a KelpDAO, y él mismo no tuvo absolutamente ningún problema. Impresionante. ¿Por qué se permite la configuración 1/1? ¿Cómo pudo el atacante obtener la lista interna de RPC? ¿Por qué la lógica de failover, tras un ataque DDoS, confió directamente en los RPC contaminados en lugar de detener inmediatamente la validación, o al menos hacer algo?” preguntó el reconocido investigador del sector CM.
“Esta actitud de evitación deliberada me resulta muy incómoda. El comunicado afirma claramente que ‘el protocolo funcionó según lo esperado’. El ataque se describe como una compromisión de los nodos RPC y envenenamiento de RPC. Pero el envenenamiento de RPC no fue así; sus propias infraestructuras fueron invadidas y dañadas. Dado que el comunicado no explica cómo ocurrió la invasión, no me apresuraré a volver a activar el puente.” dijo el conocido desarrollador DeFi banteg.
Kelp DAO también emitió un comunicado oficial, indicando que la configuración de validador único (1/1) que causó este ataque no fue una elección que ignorara las recomendaciones, sino la configuración predeterminada en las guías oficiales de LayerZero, y que la red de validadores aprovechada por los atacantes es una infraestructura propia de LayerZero.
Según el análisis de Dune, de los 2.665 contratos OApp basados en LayerZero, el 47% utiliza una configuración 1/1 DVN, es decir, un mecanismo de validación único, lo que multiplica drásticamente el riesgo en la industria.
Lo que es más aterrador que los problemas es que las partes involucradas no reconozcan los errores ni los eviten. LayerZero, como el principal jugador en comunicación entre cadenas y en la narrativa Layer0, es utilizado por cientos de proyectos criptográficos para conectar tokens y activos entre diferentes cadenas; si mantiene esta actitud arrogante, sin duda afectará aún más la confianza de la industria en ella.
La opinión generalizada es que, aunque LayerZero no fue directamente pirateada, sufrió el mayor daño a su reputación: debe pagar el precio por "permitir configuraciones débiles", de lo contrario, la narrativa cross-chain colapsará.
Es decir, LayerZero no solo necesita proponer mejoras técnicas claras, sino también asumir una mayor responsabilidad en el plan de compensación de activos.
Dos: ¿Está muerto Layer2? La congelación extraordinaria de Arbitrum
La discusión sobre Layer2 proviene de la acción de congelación de Arbitrum. Hoy al mediodía, el Comité de Seguridad de Arbitrum anunció que había tomado medidas de emergencia para rescatar 30,766 ETH almacenados en una dirección de Arbitrum One, con un valor actual de 71 millones de dólares.
Arbitrum también indicó que, tras una extensa investigación técnica y deliberación, el comité de seguridad identificó y implementó una solución técnica para transferir los fondos a un lugar seguro, sin afectar ningún otro estado de cadena ni a los usuarios de Arbitrum. La dirección original que poseía los fondos ya no puede acceder a ellos; solo la administración de Arbitrum puede tomar medidas adicionales para transferir estos fondos, y dichas acciones se llevarán a cabo en coordinación con las partes relacionadas.
Según la interpretación de expertos de la industria, el comité de seguridad de Arbitrum utilizó un tipo de transacción de sobrescritura de estado con privilegios (que forma parte de ArbOS, pero que prácticamente nunca se ha utilizado) para permitir que la clave privada del atacante siga firmando transacciones, mientras que los ETH de esa dirección fueron transferidos por la propia cadena.
Este tipo de operación especial evita por completo la clave privada del atacante y solo puede ser inyectada por la propia cadena (a través de la ruta de actualización del sequencer / ArbOS, controlada por el Comité de Seguridad de Arbitrum).
Se informa que el Comité de Seguridad de Arbitrum está compuesto por 12 individuos elegidos por el Arbitrum DAO, y cualquier decisión requiere el acuerdo de al menos 9 de los 12 miembros.
Una piedra que levanta mil olas. Anteriormente, el exterior consideraba que Arbitrum, como representante de Layer2, no tenía la capacidad ni el permiso para manejar los activos ETH de los usuarios, ya que esto violaría el espíritu descentralizado de la blockchain.
En eventos de piratería anteriores, los hackers generalmente podían congelar inmediatamente los USDT y USDC robados mediante Tether y Circle, reduciendo así las pérdidas de los usuarios. Como activo nativo de la cadena, ETH nunca ha sido congelado ni transferido por la propia cadena en la historia, lo que excede las expectativas de la mayoría de los usuarios.
Muchas opiniones apoyan el enfoque de Arbitrum, como “todas las empresas, bancos y instituciones financieras formales finalmente adoptarán arquitecturas secundarias. Operar como una entidad centralizada en momentos clave no es un defecto, sino una ventaja.” Pero no es así para muchos entusiastas técnicos.
“Sin clave privada, sin autorización, transferencia directa.” Desde muchas perspectivas, esta operación de Arbitrum redefine el grado de descentralización de Layer2, lo que genera inseguridad entre quienes operan en Layer2.
Blue Fox直言,这次事件已直接触碰了DeFi的核心意识形态红线:“Not Your keys, not your coins”。这次事件又回到了加密的经典难题:实用主义的安全 vs 完全去中心化的安全。
Conclusión
Cuando LayerZero dijo que "el protocolo funcionó exactamente como se esperaba", mantuvo la corrección técnica pero perdió la opinión pública y la confianza; cuando Arbitrum transfirió 71 millones de dólares en ETH mediante transacciones privilegiadas, salvó los fondos de los usuarios pero dañó gravemente la narrativa de descentralización de Layer2.
El incidente de robo de Kelp lleva simultáneamente a juicio las dos narrativas más populares: ¿son los puentes cruzados infraestructura o amplificadores de riesgo? ¿Son las Layer2 una expansión confiable de Ethereum o bancos secundarios disfrazados con una fachada de descentralización?
LayerZero fue comprometido debido a su mecanismo de nodo de validación único, y Arbitrum utilizó un mecanismo de votación centralizado especial para recuperar las pérdidas de LayerZero y Kelp DAO. Esto constituye un bucle extremadamente irónico: un protocolo que se autoproclama descentralizado colapsa por su "punto único de fallo"; y finalmente debe recurrir al "privilegio centralizado" de otro protocolo para resolverlo.
Lo obliga a toda la industria a enfrentar una pregunta que nunca se ha respondido directamente: ¿cuál lado estamos dispuestos a sacrificar cuando el ideal descentralizado choca con el costo real de la seguridad?
La discusión sobre la gran narrativa es un foco de opinión pública, mientras que el plan de compensación para los usuarios es otro foco de opinión pública real. Aunque Arbitrum haya recuperado más de 70 millones de dólares mediante herramientas técnicas, Aave aún tiene cerca de 200 millones de dólares en morosos; ¿cómo se deben proteger y garantizar adecuadamente los intereses de los usuarios?
En la mayoría de los eventos de hacking, las pérdidas de millones de dólares representan un desastre devastador para los protocolos, y la recuperación de los usuarios generalmente no tiene éxito. Sin embargo, este evento involucra proyectos destacados como Aave y Layerzero, cuyos planes de manejo de morosos están siendo ampliamente observados.
Aave propuso hoy dos posibles soluciones para el manejo de malas deudas: la primera es socializar las pérdidas entre todos los titulares de rsETH (carga compartida en toda la cadena), con una reducción uniforme del valor de rsETH por parte de Kelp DAO (tanto en mainnet como en L2) de aproximadamente un 15% de desvinculación; la segunda es hacer que solo los titulares de rsETH en L2 asuman todas las pérdidas, manteniendo el valor original de rsETH en mainnet.
Sin embargo, Kelp DAO y LayerZero oficialmente no han discutido su papel en el plan de compensación. Es fácil ver, por la actitud de LayerZero en el informe de intentar desligarse de la responsabilidad, que el proyecto considera que sin responsabilidad no hay obligación de compensación.
Sin embargo, que un protocolo con una valoración de miles de millones de dólares, considerado como dependencia subyacente por cientos de proyectos, elija una “exención técnica” frente a las pérdidas masivas causadas por la configuración predeterminada de DVN es, en sí mismo, una gran ironía respecto a la definición de “infraestructura subyacente”.
Este es un clásico dilema del prisionero, en el que las partes involucradas en la crisis intentan minimizar sus propias pérdidas mediante la “separación de intereses”, en lugar de asumir responsabilidades compartidas para reparar el déficit de confianza en la industria.
Desde el impacto negativo de este evento sobre todas las partes del sector, para el ámbito DeFi, esto será la prisión más peligrosa de la historia.