Original | Odaily Star Daily (@OdailyChina)
May-akda|Azuma (@azuma_eth)
Higit sa 30 oras na ang nakalipas mula nang mabigo ang bridge contract ng rsETH ng Kelp DAO, at bagaman ang mga kalahok (LayerZero, Kelp DAO, Aave) ay naglabas ng ilang pahayag (karamihan ay nagtatanggol sa kanilang sarili at nagpapakita na sila ay walang kasalanan), wala pa ring natatapos na solusyon.
Kaya ang artikulong ito ay gustong talakayin ang posisyon at pagtugon ng mga kinalalabasan sa kasalukuyan, pag-aralan ang mga dahilan kung bakit nagkakaroon ng pagkakatagal sa pagpapatibay ng plano, at subukang hulaan kung paano maaaring malutas ang pangyayari.
Odaily note: Para sa pagsisimula, tingnan ang DeFi ay muli na binaril ng $292 milyon, kaya't hindi na ligtas ang Aave?.
Sino ang dapat magdala ng responsibilidad?
Una, tatalakayin natin ang isyu ng pagtukoy sa pagkakasala.
Batay sa mga detalye mula sa LayerZero, ang direktang sanhi ng insidente ay malinaw na naisip: ang downstream RPC infrastructure na ginagamit ng decentralized validator network (DVN) na pinapatakbo ng LayerZero ay nasira (tingnan ang pagsusuri ni Yu Xian, tagapagtatag ng SlowMist sa ibaba), at dahil ang bridge contract ng Kelp DAO ay gumagamit ng 1/1 DVN, sapat na ang isang pinagmumulan na pagpapatotoo ng mensahe upang maisakatuparan ang pag-atake.
Ang LayerZero ay naniniwala na ang Kelp DAO na gumamit ng 1/1 DVN configuration ang pinakadirektang responsable sa insidente na ito. Walang maaaring sabihin dito, ang ganitong malinaw na "single point of failure" ay talagang nakakaloka.
Ngunit bilang pang-ilalim na cross-chain protocol, dapat ding tanggungin ng LayerZero ang bahagyang pagkakasala. Pinapayagan ng LayerZero ang bawat upper-layer application na mag-configure ng sariling bilang at threshold ng DVN, bagaman ang 1/1 DVN ay piliin ng Kelp DAO, bilang tagapagdisenyo ng pang-ilalim na arkitektura, dapat ring iwasan ang malinaw na may kakulangan na pag-setup na ito.
Huling hindi bababa sa mga protocol ng pagpapautang tulad ng Aave (na pinapansin dito ang Aave), bagaman isa rin ito sa mga indirektang biktima, obhetibo namang dahil sa layunin nito na palawakin, ibinigay nito ang sobrang mataas na pagsang-ayon sa pagpapautang para sa mga asset tulad ng rsETH, na direktang nagresulta sa kanyang nakakapagod na sitwasyon. Bukod dito, mahalagang tandaan na noong Enero ng nakaraang taon, ang dating team ng risk management ng Aave, ang BGD Labs (na ngayon ay naghihiwalay sa Aave), ay direktang binigyang-pansin ang problema ng DVN ng Kelp DAO; kinabukasan ng Kelp ang rekomendasyon, ngunit malinaw na hindi ito binago... Ang pagkakaroon ng walang pagmamasid at walang aksyon mula sa Aave ay kanyang sariling kahihinatnan.
Kaya malinaw ang pagtatala ng kasalanan: ang Kelp DAO ang pangunahing responsable, ang LayerZero ang pangalawang responsable, at may bahid din ang Aave.
Mahirap na katotohanan
Ang katotohanan ay laging mas kumplikado kaysa sa teoretikal na inaasahan. Ang pinakamahalagang tanong ay ang Kelp DAO team na dapat magkaroon ng pangunahing responsibilidad ay walang kakayahan na magbigay ng sapat na pera upang punan ang kulang... kahit anong paraan man—tulad ng direkta na pagbawas ng loss mula sa lahat ng rsETH o pagtataksil sa mga tagapag-alaala ng Layer2—ay parehong daan patungo sa pagkabigo.
Sino ang may pera? Ang unang isa ay ang LayerZero, na nakaranas ng krisis sa reputasyon dahil sa insidente na ito at na-tempo ng mga institusyon at protokolo tulad ng Bitgo, Tron, Ethena, Curve, at ether.fi, at nakikita ang posibilidad na mawawala ang malaking bahagi ng kanilang cross-chain share; ang pangalawa ay ang Aave, na nakaharap sa malaking potensyal na mababawang utang at nakikita ang pagkawala ng higit sa daan-daang bilyong dolyar na TVL.
Kaya ngayon ay malinaw na ang mga lihim na layunin ng bawat panig. Ang pangunahing responsable, ang Kelp DAO, ay halos nabigla at walang kakayahang magpatnubay sa susunod na pagbabayad; kailangan nilang usapin ang dalawang mga nakakatanda para malaman kung ano ang gagawin. Samantala, ang mga pangalawang responsable at indirektang responsable na LayerZero at Aave ay nagsabing ang kanilang mga protokolo ay walang mga butas, na nagpapakita na sila ay hindi handang tanggapin ang malaking maliit na kahon... Kaya tila nakakapag-antala ang sitwasyon ngayon.
Ngunit hindi ko naniniwala na magtatagal ang sitwasyong ito, dahil may pangangailangan ang dalawang protokolo na lutasin agad ang problema — hindi maaaring abandonuhin ng LayerZero ang sariling OFT cross-chain ecosystem; at hindi rin maaaring igawad ng Aave ang patuloy na paglabas ng mga deposito.
Pananatili ng pagkakasundo ng lahat ng panig
Noong umaga, naglabas ang Aave ng updated statement tungkol sa insidente, at ang pinakamahalagang punto sa pahayag ay ang pagpapahalaga ng Aave na “ang rsETH sa Ethereum mainnet ay sapat na suportado.”
Paano ipapaliwanag ang pahayag na ito? Kailangan magsimula sa disenyo ng rsETH.
Ang rsETH ay isang liquidity restaking token na inilalabas ng Kelp DAO, kung saan bawat 1 rsETH ay may suporta ng 1 ETH sa loob ng sistema ng staking at restaking, na may daan na "ETH - Lido - EigenLayer - Kelp DAO - rsETH".
Ang rsETH sa mainnet ay ang orihinal na token na isinulong ng Kelp DAO sa Ethereum, at upang mag-ekspand sa Layer2 ecosystem, ang Kelp DAO ay gagamit ng cross-chain bridge contract ng LayerZero (ang bagay na naging sanhi ng insidente na ito) upang i-map ang rsETH sa mainnet sa mga pangunahing Layer2. Habang isinasaad ang bawat 1 rsETH sa Layer2, ang rsETH sa mainnet ay itatago sa escrow contract ng Kelp DAO, at hindi ito lilibre hanggang sa mabalik ang rsETH sa Layer2 patungo sa mainnet.
Magandang, balik tayo sa insidente mismo. Nabanggit na sa nakaraan ang dahilan ng pagkakastel, kung saan ang hacker ay nagpapalit ng DVN upang magsagawa ng fake cross-chain message, na nagresulta sa pagkakamali ng bridge contract na “maglabas” ng 116,500 na rsETH — tandaan, hindi ito paggawa ng bagong coin, kundi pagkuha sa mainnet ng orihinal na token na hindi dapat ipaglabas.
Narito ang problema, ang mga token na ito ay nangangalakal na sa Layer2 sa pamamagitan ng mapping, habang ang mga token sa mainnet ay naka-lock. Ngunit pagkatapos makapasok ang hacker, isinara nila ito sa mga protocol tulad ng Aave at kinuha ang mas likuidong WETH upang makalikas — muli nating ipaalala, ang rsETH na isinara ng hacker ay totoo, kaya tinanggap ng Aave ang pagmamay-ari ng token na ito para sa pautang.
Ngayon, ang pagbabalik-tanaw sa pahayag ni Aave ay lubos na interesante. Ang pahayag na “ang rsETH sa Ethereum mainnet ay may sapat na suporta” ay literal na nagsasabi: “Ang mga ito ay totoong coin, Kelp DAO, dapat mong suportahan ang aming paghingi ng mga ito upang makuha ang ilalim na ETH (nakapag-isa ang kontrata, kaya hindi maaaring i-redeem ngayon)… tungkol sa mga Layer2 mapping ng rsETH na nawala ang suporta ng mainnet, wala akong kontrol!”
Ito ang posibleng pagkakasunod ng Aave. Bagaman ang pagpapahalaga sa pangunahing network na rsETH ay nangangahulugan ng pag-iwas sa pagpapahalaga sa Layer2 na bersyon ng rsETH, at dahil sa mayroon ding rsETH na utang na posisyon ang Aave sa mga produkto ng pagpapautang sa Layer2 (kasalukuyang sukat ay $359 milyon), ito ay maaaring magdulot ng ilang masamang utang. Gayunpaman, sa pagpili ng mas maliit na kasamaan, malamang na isinuri ng Aave ang potensyal na epekto ng dalawang opsyon at naniniwala na ang pagpapanatili ng pangunahing produkto ay mas tugma sa kanilang pinakamalaking interes.
Ngunit ito ay lang isang pahayag ng Aave; kung paano matutugunan ang pangyayaring ito ay nakasalalay kung makakakamit ang pagkakasundo sa LayerZero at Kelp DAO.
Bagaman ang huli ay wala pa sa karagdagang pahayag, sa aking personal na palagay, mahirap para sa LayerZero na tanggapin ang solusyon na ito, dahil ang pagpapabaya sa Layer2 mapping token ay direktang nagbubulsa sa reputasyon ng LayerZero sa cross-chain.
Maaaring solusyon
Ang mga problema ay dapat lutasin. Sa loob ng dalawang araw, ang mga eksperto sa social media ay nagmumungkahi rin ng mga solusyon para sa Aave, LayerZero, at Kelp DAO.
Ipinag-isip ni 0xngmi, ang tagapagtatag ng DefiLlama, ang tatlong posibleng landas, ngunit ipinahiwatig niya na may malinaw na kakulangan ang bawat isa. Ang unang landas ay ang lahat ng tagapag-iyak ng rsETH ay magkakaroon ng pagbaba sa halaga ng 18.5% (ang ratio ng nawawalang token sa inilabas na token), kung saan ang Kelp DAO ay magtatanggol mismo, at ang Aave ay magdudulot ng mga masamang utang na humigit-kumulang sa $216 milyon sa mainnet; ang ikalawang landas ay ang pag-iwas sa lahat ng halaga ng rsETH na na-map sa Layer2, kung saan ang pangunahing produkto ng Aave ay maaaring mapanatili, ngunit malamang na mabubulok ang Layer2 ecosystem, at ang goodwill ng Kelp DAO ay mawawala; at ang ikatlong landas ay ang pagbabayad ng buong halaga sa mga tagapag-iyak ng rsETH batay sa snapshot bago ang pag-atake, habang ang mga bagong bumili o naglipat ay magdudulot ng sariling pagkawala, ngunit dahil sa malaking paggalaw ng pera pagkatapos ng pag-atake, halos imposible na maisagawa ito.
Sinabi ni Yishi, founder ng OneKey: “Ang pinakamahusay na resulta ngayon ay makipag-usap sa hacker at magbigay ng 10–15% bounty para makuha ang malaking bahagi, at lahat ay masaya. Kung hindi makakasundo, ang LayerZero ecosystem fund ang magdudulot ng malaking bahagi, dahil sila ang may pinakamaraming pera at pinakamalaking pangmatagalang interes—kahit mawala, mapapanatili pa rin ang OFT ecosystem. Ang Kelp DAO ang pinakamahirap, kaya kailangan nilang i-compensate sa pamamagitan ng token + hinaharap na kita, o direktang ibenta ang buong proyekto sa LayerZero o Bitmine. Ang Aave’s Umbrella at stkAAVE ang huling safety net, ngunit ang mga depositor ng WETH ay hindi dapat magdanas ng pagbaba ng halaga, dahil kung ganoon, ang Morpho, Spark, Fluid, at Euler ay susundan ang pagbabago ng presyo, ang LRT sector ay mababawasan ng buong industriya, at ang buong DeFi ay mababaleg sa loob ng tatlong taon.”
Anuman ang mangyari, siguradong magpapatuloy pa ang pagkakasundo ng lahat ng mga partido, dahil kinukwento nito ang mga tunay na pera sa halagang milyon-milyon, at walang gustong maging pinakamalaking biktima.
Tungkol sa kailangang oras para magbigay ng solusyon, nabanggit na rin ito sa harap: ang dalawang malalaking player ay hindi makakatagal. Ang LayerZero ay ngayon ay pinipigilan ng mga kooperadong institusyon at protokolo, at kung itutuloy pa ang pagkakaroon ng pagkaantala, ang mga kooperadong ito ay magkakaroon ng ibang cross-chain path; ang kalagayan ng Aave ay hindi rin mabuti, dahil ang paggamit ng maraming pool ng pondo ay nasa 100% na, at ang mga nagdeposito ay nasa “locked” na kalagayan… Kung biglang bumaba ang ETH, maaaring magkaroon ng higit pang dudoso na utang ang Aave dahil sa hindi epektibong pag-clear (totoo ito ngayon), na magdudulot ng paglalago ng problema tulad ng bola ng snow — kung talagang dumating sa ganitong punto, maaaring masira ang pundasyon ng industriya, at malinaw na walang gustong makita ang ganitong sitwasyon.