May-akda: Gu Yu, ChainCatcher
Hindi pa rin natutupad ang mga epekto ng Kelp DAO matapos ang higit sa 40 na oras ng pagkakalason, at patuloy na kasangkot ang mas maraming kilalang proyekto tulad ng Aave, LayerZero, at Arbitrum, pati na ang ilang populasyong kuwento ay napapalabas na sa pagkamatay.
Inaasahan ni KOL na si Feng Wuxiang sa platform na X na ang ETH lang ang ligtas, at ang ARB ay nagbigay na ng pahintulot para i-freeze ang mga ari-arian ng mga kliyente. Dapat ay wala nang isang L2 na totoong L2. Ipinanganak ang L2 sa Arbitrum, at nasira rin nito.
Ang isa pang kilalang KOL, Blue Fox, ay nagsabi na ang pinakamalaking pagkawala sa insidente na ito ay hindi ang Aave, ni ang Kelp, kundi ang Layerzero, ngunit sobrang maikli ng pananaw nito upang makita ang tunay na kalikasan ng buong insidente. Ang tunay na kalikasan ng insidente ay hindi ang pagtutol sa L2 (kung ang isang fake L2 lang ang problema), kundi ang pagtutol sa cross-chain bridge.
Lumalala ang dami ng mga malalim na pananaw sa public discourse, kung saan ang mga kalahok sa insidente ay nagtataglay ng iba’t ibang bersyon at nagtatampok sa isa’t isa, na ginagawa ang pagkakastila sa Kelp DAO bilang isang tipikal na pagkakataon upang obserbahan ang paghahati-hati ng responsibilidad sa mga insidente ng seguridad, ang pagtatagpo ng pragmatismo at teknikal na fundamentalismo.
Isa, Nabigo ang L0? Naging pinakamalaking tagapagwala ang cross-chain bridge
Ang pangunahing punto ng insidente ay ang detalyadong ulat sa pag-atake na inilabas ni LayerZero kahapon, na nagmumula sa unang pagtataya na ang mga attacker ay ang Lazarus Group na may mga ugnayan sa Korea ng Hilaga. Ang pag-atake ay ginawa sa pamamagitan ng pagpapahamak sa mga RPC infrastructure na depende ng kanilang decentralized verification network (DVN), kung saan kinontrol ng mga attacker ang ilang RPC nodes at kasabay nito ang paggamit ng DDoS attack upang pagsamahin ang sistema na mag-switch sa mga masasamang node, na nagresulta sa pagpapalit ng cross-chain transactions.
Ang paggamit ng kompromisong node para sa pag-poison sa RPC infrastructure, kasama ang pag-DDoS sa mga RPC na hindi naapektuhan upang pilitin ang failover, ay isang napakakomplikadong paraan. Ito ay isang uri ng infrastruktural na digmaan,” ayon kay Samuel Tse, Head of Investment and Partnerships ng Animoca Brands.
Sa dulo ng ulat, sinabi ng LayerZero na ang protokolo ay tumindig nang ganap ayon sa inaasahan sa buong pangyayari. Walang anumang vulnerability na natuklasan sa protokolo. Ang pangunahing katangian ng LayerZero architecture ay ang modular na seguridad, at sa kaso na ito, ito ay nagtagumpay nang perpekto sa pagkakaroon ng inaasahang resulta—nailalapat ang buong pag-atake sa isang magkakalapit na aplikasyon lamang—walang anumang panganib ng pagkalat sa buong sistema, at walang iba pang OFT o OApp ang naapektuhan.
Ang ganitong ganap na pag-alis ng sariling pagkakasala ay naging sanhi ng malakas na reaksyon ng publiko, na may maraming kilalang mga eksperto sa industriya na hindi nakakatuwa sa pagkilos ng LayerZero sa pangyayaring ito.
“L0 ay nag-iwan ng sarili nito nang malinis, at sa buong artikulo ay isinisisi ang lahat ng kasalanan sa pagkakamali ng konfigurasyon ng KelpDAO, habang sila mismo ay walang anumang problema. Nakakatamad. Tanong ko lang, bakit pinapayagan ang 1/1 na konfigurasyon? Bakit nakakuha ng access ang attacker sa loob na RPC list? Bakit direktang pinaniniwalaan ng failover logic ang nasirang RPC pagkatapos ng DDoS, at hindi agad pinigil ang pag-verify, o kahit gumawa ng minimong hakbang?” tanong ni CM, kilalang researcher sa industriya.
Nakakaramdam ako ng kawalan ng kahinga dahil sa pagsisikap na iwasan ito. Malinaw sa pahayag na “tumutugon ang protocol nang buong pagkakatotoo.” Ibinigay ang pag-atake bilang pagbubusog ng RPC node at RPC poisoning. Ngunit hindi ganito ang RPC poisoning; ang kanilang sariling imprastruktura ang nasira at binaril. Dahil hindi inilahad ng pahayag kung paano naganap ang pagbubusog, hindi ako magpapabilis na muling i-enable ang tulay,” ayon kay banteg, kilalang DeFi developer.
Kelp DAO ay naglabas ng pahayag din, na nagpapahiwatig na ang single validator (1/1) configuration na nagdulot sa pag-atake ay hindi isang pag-iwas sa mga rekomendasyon, kundi ang default setting sa opisyal na gabay ng LayerZero, at ang validator network (DVN) na ginamit ng attacker ay isang sariling infrastraktura ng LayerZero.
Ayon sa pagsusuri ng Dune, sa 2,665 na OApp contract na batay sa LayerZero, 47% ang gumagamit ng 1/1 DVN configuration, o single verification mechanism, na nagpapalaki nang malaki ang panganib sa industriya.
Mas takot sa pagkakaroon ng problema ay ang pagtanggi at pag-iwas sa pagkakamali ng mga partido. Bilang pangunahing player sa cross-chain communication at Layer0 narrative, hundreds ng crypto projects ay gumagamit ng kanyang cross-chain infrastructure upang i-bridge ang mga token at asset sa iba’t ibang chain. Kung patuloy na mananatili sa pagkamapagmataas, ito ay magdudulot ng karagdagang pagbaba ng tiwala ng industriya sa kanila.
Ang pangkalahatang opinyon ay naniniwala na bagaman hindi diretso na hinarang ang LayerZero, ang pinakamalaking pinsalang naranasan nito ay ang kanyang reputasyon—kailangan niya na magbayad para sa “pagsang-ayon sa mahinang konfigurasyon,” o ang cross-chain narrative ay maaaring mabulok.
Ibig sabihin, kailangan ng LayerZero na hindi lamang magpropose ng malinaw mga teknikal na pagpapabuti, kundi magdala rin ng higit pang responsibilidad sa mga plano ng kompensasyon sa mga aset.
Pangalawa: Patay na ang Layer2? Ang di-karaniwang pagpapahinga ng Arbitrum
Ang diskusyon tungkol sa Layer2 ay nagmula sa pagpapahinga ng Arbitrum. Ngayong tanghali, ang Arbitrum Security Council ay naglabas ng pahayag na nagpapahayag na nagpanagot sila ng emergency action upang iligtas ang 30,766 ETH na naka-imbak sa address ng Arbitrum One, na kasalukuyang may halagang $71 milyon.
Ang Arbitrum ay nagdagdag na, matapos ang malawakang teknikal na pag-aaral at pag-uusap, tinukoy at isinagawa ng Security Committee ang isang teknikal na solusyon upang ilipat ang mga pondo sa isang ligtas na lokasyon nang hindi nakakaapekto sa anumang iba pang chain state o Arbitrum users. Ang orihinal na address na nagtatago ng mga pondo ay hindi na maaaring ma-access, at ang tanging Arbitrum management ang may kapangyarihang magpatuloy sa paglipat ng mga pondo, na gagawin sa koordinasyon sa mga kaugnay na partido.
Ayon sa pagpapaliwanag ng mga eksperto sa industriya, gumamit ang Arbitrum Security Council ng isang privileged state override transaction type (bahagi ng ArbOS, ngunit halos hindi nagamit kailanman) upang payagan ang private key ng attacker na paunlarin ang mga transaksyon, ngunit ang ETH sa address na iyon ay inilipat ng chain mismo.
Ang espesyalong uri ng pagtrato ay bumabayaan ang private key ng attacker, at ang tanging nagpapakilala nito ay ang chain mismo (sa pamamagitan ng sequencer / ArbOS upgrade path, na pinag-uugnay ng Arbitrum Security Council).
Ayon sa mga ulat, ang Arbitrum Security Council ay binubuo ng 12 mga indibidwal na napili ng Arbitrum DAO, at kailangan ng pagsang-ayon ng 9/12 upang makamit ang anumang desisyon.
Isang bato ang nagdulot ng libo-libong alon. Bago ito, sa pananaw ng labas, ang Arbitrum bilang kumakatawang Layer2 ay hindi may kakayahan o pahintulot na magtrabaho sa mga yaman ng ETH ng mga user, dahil ito ay lumalabag sa diwa ng decentralization ng blockchain.
Sa mga nakaraang pag-atake, ang mga hacker ay madalas na nakakapag-freeze ng USDT at USDC agad ng pamamagitan ng Tether at Circle upang mabawasan ang pagkawala ng mga user. Ang ETH bilang native asset ng chain, wala pang nangyaring pag-freeze o pag-transfer ng chain mismo, at ito ay labas sa karamihan ng mga ekspektasyon ng mga user.
Maraming pananaw ang sumusuporta sa pagkilos ng Arbitrum, tulad ng “lahat ng kumpanya, bangko, at opisyal na mga institusyong pinansyal ay hahawak sa secondary layer sa wakas. Ang pag-uugali bilang isang sentralisadong entidad sa mahalagang panahon ay hindi isang kahinaan, kundi isang kahusayan.” Ngunit hindi ito ang kaso para sa mas maraming tech enthusiasts.
“Walang kailangang private key, walang kailangang pahintulot, direktang pagpapadala.” Sa maraming pananaw, ang aksyon ng Arbitrum ay muling tinukoy ang antas ng decentralization ng Layer2, na nagdudulot ng kawalan ng kapanatagan sa kanilang parte sa Layer2.
Sinabi ng Blue Fox na direktang sinikat ng insidente na ito ang puso ng DeFi: "Hindi ang iyong keys, hindi ang iyong coins." Umuulit ang insidente sa klasikong problema ng crypto: praktikal na seguridad vs. ganap na decentralisadong seguridad.
Pangwakas
Kapag sinabi ng LayerZero na "tumutugon ang protokolo nang buong pagkakatugma sa inaasahan," nagpanatili ito ng teknikal na tama, ngunit nawala ang opinyon at tiwala; kapag ginamit ng Arbitrum ang pribilehiyong transaksyon upang ilipat ang $71 milyon na ETH, naligtas nito ang pera ng mga user, ngunit nasira nito ang kuwento ng decentralization ng Layer2.
Ang pagkakalason ng Kelp ay nagdala sa dalawang pinakamalikhaing kuwento sa harap ng pagpapasiya: Ang mga cross-chain bridge ay mga pondo o mga tagapagpataas ng panganib? Ang Layer2 ay isang tiyak na pagpapalawak ng Ethereum o isang secondary bank na nakasaklaw sa isang panlabas na pangako ng decentralization?
Nasira ang LayerZero dahil sa mekanismo ng iisang verification node, at ginamit ng Arbitrum ang centralized na espesyal na voting mechanism upang mabawi ang mga pagkalugi para sa LayerZero at Kelp DAO. Ito ay bumubuo ng isang napakasabing sariling loop: isang protokolo na nagpapahayag na decentralized, na bumagsak dahil sa kanyang “single point of failure”; at sa huli, kailangan nito ang “centralized privilege” ng isang ibang protokolo upang matapos ito.
Ito ay nagpilit sa buong industriya na harapin ang isang tanong na hindi pa nagkaroon ng direkta sagot: Kapag ang ideyal ng decentralization ay tumutugma sa real na gastos sa seguridad, alin sa dalawa ang handa nating i-sacrifice?
Ang pag-uusap tungkol sa malalaking naratibo ay isang pangunahing paksa sa public opinion, habang ang plano para sa kompensasyon ng mga user ay isa pang praktikal na paksa sa public opinion. Kahit na matagumpay na mabawi ng Arbitrum ang higit sa 70 milyong dolyar gamit ang teknikal na paraan, mayroon pa ring malapit sa 2 milyong dolyar na masamang utang ang Aave—paano maipoprotektahan at mapapanatili ang interes ng mga user?
Sa karamihan ng mga paglabag, ang pagkawala ng mga milyon dolyar ay isang malaking kalamangan para sa isang protokolo, at ang paghingi ng pagbabayad mula sa mga gumagamit ay karaniwang walang resulta. Ngunit ang kasalukuyang insidente ay naglalaman ng mga pangunahing proyektong tulad ng Aave at Layerzero, kung saan ang kanilang plano para sa pagtrato sa mga masamang utang ay malaki ang pagmamasid.
Aave ay nagmungkahi ng dalawang posibleng solusyon para sa pag-handle ng default: ang una ay ang pagbabahagi ng pagkawala sa pagitan ng lahat ng mga tagapag-ayos ng rsETH (pangkalahatang chain-wide), kung saan ang Kelp DAO ay magpapaliit ng halaga ng lahat ng rsETH (mainnet + L2) nang iisang pagkakataon (tungkol sa 15% na pagkawala ng peg); ang pangalawa ay ang pagpapahintulot lamang sa mga tagapag-ayos ng rsETH sa L2 na magdala ng lahat ng pagkawala, habang pinapanatili ang orihinal na halaga ng mainnet rsETH.
Gayunpaman, ang Kelp DAO at ang opisyal na LayerZero ay hindi pa nagkomento tungkol sa kanilang papel sa plano ng kompensasyon. Mula sa pagtatangka ng LayerZero na iwasan ang pagkakasala sa kanilang ulat, madaling makita na ang proyekto ay nananatili na kung walang pagkakasala, wala ring obligasyon sa kompensasyon.
Gayunpaman, ang pagpili ng isang protokolo na may halaga ng milyon-milyong dolyar at itinuturing na pangunahing batayan ng mga daan-daang proyekto na “teknikal na pag-iwas” sa pagkawala ng malaking halaga dahil sa default na konfigurasyon ng DVN ay isang malaking pagtatawa sa kahulugan ng “pangunahing infrastraktura”.
Ito ay isang klasikong prisoner's dilemma, kung saan ang mga partido na nasa gitna ng krisis ay nagtatangkang mabawasan ang kanilang sariling pagkawala sa pamamagitan ng "pagkakatiyak ng interes," hindi sa pamamagitan ng pagbabahagi ng responsibilidad upang mabawi ang kakulangan sa tiwala sa industriya.
Mula sa negatibong epekto ng insidente sa mga kalahok sa industriya, para sa DeFi sector, ito ay ang pinakamapanganib na prisoner's dilemma sa kasaysayan.