Автор: Гу Ю, ChainCatcher
После более чем 40 часов после кражи, последствия, вызванные Kelp DAO, продолжают распространяться: все больше известных проектов, таких как Aave, LayerZero и Arbitrum, вовлекаются в ситуацию, и даже некоторые популярные нарративы столкнулись с смертным приговором.
Известный KOL Вэнь Вусян заявил на платформе X, что теперь только ETH безопасен, а ARB также авторизовал заморозку активов клиентов. Похоже, ни один L2 больше не является настоящим L2. L2 возникли благодаря Arbitrum и погибли из-за Arbitrum.
Другой известный KOL, Lanhu, отметил, что наибольшие потери в этой аварии kelp не понесли Aave и не Kelp, а Layerzero, просто он слишком узко смотрел и не увидел суть всего события. Суть этого события не в опровержении L2 (если это ложный L2 — неважно), а в опровержении мостов между цепочками.
В общественном пространстве все чаще появляются острые точки зрения, стороны, причастные к инциденту, обвиняют друг друга, что превращает кражу в Kelp DAO в типичное окно для наблюдения за распределением ответственности за инциденты безопасности, а также за конфликтом между прагматизмом и техническим фундаментализмом.
Один. L0 опровергнут? Мосты межсетевого взаимодействия стали крупнейшими проигравшими
Ключевым моментом события является подробный отчет о кибератаке, опубликованный LayerZero вчера, в котором предварительно установлено, что атакующие — группа Lazarus, связанная с Северной Кореей. Атака была осуществлена путем заражения зависимой инфраструктуры RPC нижестоящего децентрализованного сети проверки (DVN): атакующие контролировали часть узлов RPC и использовали DDoS-атаки, чтобы заставить систему переключиться на вредоносные узлы и подделать межцепочечные транзакции.
Использование скомпрометированных узлов для атаки на инфраструктуру RPC в сочетании с DDoS-атаками на незатронутые RPC-узлы с целью принудительного переключения является крайне сложным методом. Это по сути является войной инфраструктуры», — прокомментировал Сэмюэль Цзе, директор по инвестициям и партнерствам Animoca Brands.
В заключении отчета LayerZero заявила, что протокол полностью работал так, как и ожидалось, в течение всего инцидента. Уязвимостей в протоколе не обнаружено. Основная особенность архитектуры LayerZero — модульная безопасность, которая в данном случае идеально выполнила свою задачу, изолировав всю атаку внутри одного приложения — система осталась полностью защищенной от заражения, и другие OFT или OApp не пострадали.
Полное отказывание от своей ответственности стало катализатором мощной общественной реакции, и многие известные представители отрасли выразили недовольство действиями LayerZero в этом инциденте.
L0 полностью отмылся от вины, всю статью возлагая ответственность на ошибку конфигурации KelpDAO, будто у них вообще не было никаких проблем. Впечатляет. Скажите, почему вообще допускалась конфигурация 1/1? Почему список внутренних RPC попал в руки злоумышленника? Почему логика переключения на резервный сервер после DDoS-атаки сразу доверилась заражённому RPC, вместо того чтобы немедленно остановить проверку или хотя бы предпринять какие-либо действия? — спрашивает известный отраслевой исследователь CM.
Такой намеренно избегающий подход вызывает у меня дискомфорт. В заявлении прямо говорится: «Протокол работает полностью в соответствии с ожиданиями». Атака описывается как компрометация RPC-узла и отравление RPC. Однако отравление RPC — это не то, что произошло; их собственная инфраструктура была взломана и повреждена. Поскольку в заявлении не объясняется, как именно произошло вторжение, я не буду спешить с повторным включением моста», — заявил известный разработчик DeFi banteg.
Kelp DAO также официально прокомментировала ситуацию, заявив, что конфигурация с одним валидатором (1/1), которая привела к этой атаке, не была выбором, игнорирующим рекомендации, а представляет собой настройку по умолчанию в официальных руководствах LayerZero, а сеть валидаторов (DVN), использованная злоумышленниками, является собственной инфраструктурой LayerZero.
Согласно анализу Dune, из 2665 контрактов OApp на базе LayerZero 47% используют конфигурацию 1/1 DVN, то есть одиночный механизм проверки, что резко увеличивает риски в отрасли.
Чем страшнее проблемы, так это то, что стороны не признают ошибок и избегают их. LayerZero, будучи ведущим игроком в области межцепочечной связи и концепции Layer0, используется сотнями криптопроектов для мостов между токенами и активами различных цепочек. Если он продолжит сохранять высокомерную позицию, это неизбежно еще больше подорвет доверие отрасли к нему.
Общественное мнение считает, что, хотя LayerZero напрямую не был взломан, он понес наибольший ущерб репутации — ему придется заплатить за «разрешение слабых конфигураций», иначе нарратив о межцепочечных соединениях рухнет.
То есть LayerZero необходимо не только предложить четкие технические улучшения, но и взять на себя большую ответственность за схему компенсации активов.
Два. Layer2 мертв? Необычное замораживание Arbitrum
Обсуждения, связанные с Layer2, связаны с блокировкой действий Arbitrum. Сегодня в полдень Комитет безопасности Arbitrum опубликовал заявление, в котором сообщило, что предпринял срочные меры для спасения 30 766 ETH, находившихся на адресе Arbitrum One, текущая стоимость которых составляет 71 миллион долларов США.
Arbitrum также сообщил, что после обширного технического расследования и рассмотрения технический комитет определил и реализовал техническое решение, позволяющее перевести средства в безопасное место без влияния на состояние других цепочек или пользователей Arbitrum. Адрес, ранее владевший этими средствами, больше не имеет к ним доступа; дальнейшие действия по переводу этих средств могут предпринять только административные органы Arbitrum, и эти действия будут согласованы с соответствующими сторонами.
Согласно интерпретации отраслевых экспертов, Совет безопасности Arbitrum использовал привилегированный тип транзакции перезаписи состояния (являющийся частью ArbOS, но практически никогда не используемый), чтобы приватный ключ атакующего по-прежнему мог подписывать транзакции, однако ETH на этом адресе были переведены самой цепочкой.
Этот специальный тип сделки полностью обходит приватный ключ атакующего; вставить его может только сама цепочка (через путь обновления sequencer / ArbOS, контролируемый Советом безопасности Arbitrum).
Согласно информации, Совет безопасности Arbitrum состоит из 12 человек, избранных Arbitrum DAO, и любое решение требует согласия 9 из 12 участников.
Один камень вызвал тысячу волн. Ранее, по мнению внешних наблюдателей, Arbitrum, как представительный Layer2, не обладал возможностями и полномочиями для обработки активов ETH пользователей, поскольку это противоречило духу децентрализации блокчейна.
В прошлых хакерских инцидентах USDT и USDC, которые были похищены хакерами, часто могли быть заморожены Tether и Circle в первую очередь, чтобы минимизировать убытки пользователей. ETH как нативный актив цепочки никогда ранее не замораживался и не переводился самой цепочкой, что выходит за рамки ожиданий подавляющего большинства пользователей.
Многие мнения поддерживают подход Arbitrum, например: «Все компании, банки и официальные финансовые учреждения в конечном итоге примут вторичную архитектуру. Действовать как централизованный субъект в критический момент — это не недостаток, а преимущество». Однако для большинства технических энтузиастов это не так.
«Без приватного ключа, без авторизации — прямой перевод». Многие считают, что эта операция Arbitrum переопределила степень децентрализации Layer2, что вызывает у них ощущение неуверенности на Layer2.
Ланьху прямо заявил, что это событие напрямую затронуло красную линию основополагающей идеологии DeFi: «Not Your keys, not your coins». Это событие снова возвращает нас к классической дилемме криптовалют: практическая безопасность против полностью децентрализованной безопасности.
Заключение
Когда LayerZero говорит, что «протокол работает точно как ожидалось», он сохраняет техническую корректность, но теряет общественное мнение и доверие; когда Arbitrum использует привилегированные транзакции для перевода 71 миллионов долларов США в ETH, он спасает средства пользователей, но наносит удар по нарративу децентрализации Layer2.
Кризис с кражей Kelp поставил на испытание два самых популярных нарратива: являются ли мосты между блокчейнами инфраструктурой или усилителями рисков? Являются ли Layer2 надежным масштабированием Ethereum или вторичными банками в обличье децентрализации?
LayerZero из-за механизма единого узла проверки был взломан, Arbitrum использовал централизованный специальный механизм голосования, чтобы компенсировать убытки LayerZero и Kelp DAO. Это образует крайне ироничный замкнутый круг: протокол, позиционирующий себя как децентрализованный, рухнул из-за своей «одноточечной уязвимости» и в итоге вынужден был полагаться на «централизованное привилегированное решение» другого протокола для завершения ситуации.
Он заставил всю отрасль столкнуться с вопросом, на который никогда не давали прямого ответа: когда идеал децентрализации сталкивается с реальной ценой безопасности, какую сторону мы готовы пожертвовать?
Обсуждение крупных нарративов является центром общественного внимания, а схема компенсации для пользователей — другим реальным объектом общественного интереса. Даже если Arbitrum с помощью технических средств вернула более 70 миллионов долларов США, Aave все еще имеет почти 200 миллионов долларов США просроченных долгов — как тогда обеспечить надлежащую защиту и сохранение интересов пользователей?
В подавляющем большинстве хакерских инцидентов убытки в размере десятков миллионов долларов являются катастрофой для протокола, и возмещение ущерба пользователям обычно не приносит результатов. Однако в данном инциденте, затрагивающем такие ведущие проекты, как Aave и Layerzero, подход к обработке просроченной задолженности вызывает большой интерес.
Aave сегодня предложила два возможных варианта обработки просроченных долгов: первый — распределение убытков между всеми держателями rsETH (распределение по всей цепочке), Kelp DAO проводит унифицированную корректировку стоимости всех rsETH (основная сеть + L2) (примерно на 15% от отклонения); второй —все убытки несут только держатели rsETH на L2, а rsETH на основной сети сохраняют свою первоначальную стоимость.
Однако Kelp DAO и официальные представители LayerZero до сих пор не комментировали свою роль в плане компенсации. Из стремления LayerZero отвернуться от ответственности в отчете легко понять, что проект считает, что отсутствие ответственности означает отсутствие обязательств по компенсации.
Однако то, что протокол с оценкой в десятки миллиардов долларов, на котором зависят сотни проектов, выбрал «техническое освобождение от ответственности» в ответ на огромные потери, вызванные настройками DVN по умолчанию, само по себе является огромной иронией в отношении определения «базовой инфраструктуры».
Это типичный дилемма заключённого, при которой все стороны, оказавшиеся в кризисе, пытаются минимизировать собственные потери за счёт «разделения выгод», а не через совместное несение ответственности для восстановления доверия в отрасли.
С точки зрения негативного влияния этого инцидента на все стороны отрасли, для DeFi это будет самой опасной дилеммой заключённого в истории.