Orijinal | Odaily Yıldız Günlüğü (@OdailyChina)
Yazar|Azuma(@azuma_eth)
Kelp DAO'nun rsETH köprü sözleşmesinin kötüye kullanılmasından daha fazla 30 saat geçti; ilgili taraflar (LayerZero, Kelp DAO, Aave) sırayla açıklamalarda bulundu (ana olarak "suçu başkasına atma" ve kendi hatasızlığını vurgulama), ancak henüz nihai bir çözüm sunulmadı.
Bu nedenle, bu makalede ilgili tarafların mevcut durumunu ve tutumunu ele alacağız, önerinin onaylanmasında gecikmeye neden olan faktörleri inceleyeceğiz ve olayın sonunda nasıl çözülebileceğini tahmin etmeye çalışacağız.
Odaily Notu: Önceki bilgiler için DeFi yeniden 292 milyon dolar çalındı, bu sefer Aave bile güvenli değil mi? başlıklı makaleye bakın.
Kim sorumlu olmalı?
Öncelikle sorumluluk sorununu ele alalım.
LayerZero tarafından paylaşılan ayrıntılara göre, olayın doğrudan nedeni oldukça net: LayerZero'un işlettiği merkeziyetsiz doğrulama ağı (DVN)'nin bağımlı olduğu alt seviye RPC altyapısı ele geçirildi (aşağıdaki şekil, SlowMist kurucusu Yu Xian'ın analizini göstermektedir) ve Kelp DAO'nun köprü sözleşmesi 1/1 DVN kullanıldığından, saldırganın yalnızca bir sahte mesaj doğrulaması yapması yeterli olmuştur.
LayerZero, 1/1 DVN yapılandırması ile Kelp DAO'nun bu olayda en doğrudan sorumlu taraf olduğunu düşünüyor. Bu kadar açık bir "tek noktada arıza" gerçekten abartılı.
Ancak temel çapraz zincir protokolü LayerZero da kısmen sorumlu olmalıdır. LayerZero, her üst seviye uygulamanın DVN sayısını ve eşiğini kendi başına yapılandırmasına izin verir; 1/1 DVN, Kelp DAO'nun kendi seçimi olsa da, temel mimarinin tasarımı olarak bu açıkça eksikli yapılandırmayı önlemelidir.
Son olarak, Aave gibi kredi protokollerinden (burada özellikle Aave üzerinde duruluyor) aracılı olarak zarar gören bir taraf olsa da, Aave'nin büyüme amaçlı olarak rsETH gibi LRT varlıklara aşırı kredi limiti vermesi, mevcut pasif durumuna neden olan doğrudan sebep olmuştur. Ayrıca dikkat edilmesi gereken bir nokta da, Aave'nin eski risk yönetimi ekibi BGD Labs'ın geçen yıl Ocak ayında Kelp DAO'nun DVN sorununu açıkça belirtmiş olmasıdır; Kelp o dönemde bu öneriyi kabul etmiş ancak açıkça hiçbir değişiklik yapmamıştır... Aave'nin bu konuda sürekli izleme yapmaması ve gerekli önlemleri almaması da kendi sonuçlarını yaşamış olmasıdır.
Bu nedenle sorumluluk oldukça net: Kelp DAO birincil sorumlu, LayerZero ikincil sorumlu, Aave ise kısmen dolaylı sorumludur.
Rahatsız edici gerçek
Gerçek durum, teorik beklentilerden her zaman daha karmaşıktır. En kritik sorun, ana sorumluluk taşıyan Kelp DAO ekibinin bu boşluğu doldurmak için bu kadar para sahip olmamasıdır... rsETH'teki toplam kayıpları doğrudan düşürmek ya da Layer2 sahiplerini ihanet etmek, temelde her ikisi de çıkmaz sokaktır.
Peki kimin parası var? Birincisi, bu olay nedeniyle itibar krizi yaşayan, Bitgo, Tron, Ethena, Curve, ether.fi gibi birçok kurum ve protokol tarafından geçici olarak engellenmiş ve büyük bir çapraz zincir payı kaybı yaşayabilir durumda olan LayerZero; ikincisi, milyarlarca dolarlık potansiyel kötü borçlarla karşı karşıya kalmış ve yüzlerce milyar dolarlık TVL kaybını izleyen Aave.
Bu durumda artık her tarafın niyeti oldukça net. Ana sorumlu olan Kelp DAO neredeyse çökmüş durumda ve sonraki tazminatları yönetecek kapasiteye sahip değil; ne yapması gerektiği iki büyük kardeşe danışılmalı. Aynı zamanda, tazminat kapasitesine sahip olan ikincil ve dolaylı sorumlu taraflar olan LayerZero ve Aave, kendi protokollerinde herhangi bir açığın olmadığını açıkladılar ve bu kadar büyük bir sorumluluğu kolayca kabul etmeyeceklerini açıkça gösterdiler… Bu nedenle şu an durum biraz tıkanmış gibi görünüyor.
Ancak bu durumun uzun süre devam etmeyeceğini düşünüyorum, çünkü iki protokol de sorunu en kısa sürede çözmek zorunda — LayerZero, OFT çapraz zincir ekosistemi alanını bırakamaz; Aave de mevcut sermayenin sürekli dışa akışını göz ardı edemez.
Ana mücadele noktaları
Bugün sabah, Aave bu olayla ilgili bir güncelleme yayınladı ve bu açıklamadaki en önemli nokta, Aave'nin “Ethereum ana ağındaki rsETH’in yeterli destekle karşılanan bir durumda olduğunu” vurgulamasıdır.
Bu ifade nasıl anlaşılmalıdır? rsETH'in tasarımıyla başlamalıdır.
rsETH, Kelp DAO tarafından yayınlanan bir likidite yeniden质押 belirtecidir ve her 1 rsETH, "ETH - Lido - EigenLayer - Kelp DAO - rsETH" yolunda yer alan 1 ETH'nin质押 ve yeniden质押 sisteminde desteklenir.
Ana ağdaki rsETH, Kelp DAO'nun Ethereum üzerinde çıkardığı orijinal temsili varlık jetonudur. Daha sonra Layer2 ekosisteminde genişlemek amacıyla Kelp DAO, ana ağdaki rsETH'yi LayerZero'un çapraz zincir köprü sözleşmesi (bu olayın nedeni olan şey) aracılığıyla çeşitli Layer2'lere eşleyecektir. Her 1 rsETH, Layer2'de çıkarılırken, ana ağdaki rsETH de Kelp DAO'nun güvence altına alınan sözleşmesine yatırılacaktır ve Layer2'deki rsETH ana ağa çapraz zincirle döndüğünde serbest bırakılacaktır.
Peki, şimdi olaya geri dönelim. Önceki kısımda bahsedildiği gibi, hırsızlığın nedeni, hacker'ın DVN'yi kandırarak çapraz zincir mesajı yaratması ve bu sayede köprü sözleşmesinin 116.500 rsETH'yi "yanlış serbest bırakması"ydı — bunun, yeni bir para basılması değil, ana zincirden serbest bırakılması gerekmeyen orijinal belge token'larının alınması olduğunu unutmayın.
Sorun tam olarak burada: Bu tokenler, Layer2 üzerinde zaten haritalama yoluyla dolaşımda idi, ana ağdaki tokenler ise dondurulmuş durumdaydı; ancak haker, bunları Aave gibi kira protokollerine yatırarak daha likit WETH'i kiralayarak kaçışını gerçekleştirdi — Tekrar vurguluyorum, hakerin yatırdığı rsETH gerçekti, bu yüzden Aave bu tokenin teminat olarak kullanılmasını sağladı.
Şimdi Aave'nin açıklamasına geri dönüldüğünde ilginç oluyor. "Ethereum ana ağındaki rsETH, yeterli desteğe sahiptir" ifadesi aslında şunu söylüyor: "Bu tokenler gerçek, Kelp DAO sen bu tokenleri kullanarak altta yatan ETH'yi geri almanı sağlamalısın (sözleşme durduruldu, şu anda geri alınamıyor)... Ana ağ rsETH desteğinden yoksun olan Layer2 eşlemeli rsETH'leri ise ben ilgilenmiyorum!"
Bu, Aave'in tercihi olmalı. Ana ağ rsETH'in değerini vurgulamak, Layer2'deki rsETH sürümünün değerini görmezden gelmek anlamına gelir ve Aave'in kendisi de Layer2 üzerindeki kredi ürünlerinde 359 milyon dolarlık gerçek zamanlı rsETH borç pozisyonuna sahip olduğundan, bu da bir miktar kötü borç yaratabilir. Ancak iki zarar arasından daha az olanı seçerek, Aave muhtemelen her iki seçeneğin potansiyel etkilerini değerlendirdi ve ana ağ temel ürünlerini korumanın en büyük çıkarına daha uygun olduğunu düşündü.
Ancak bu sadece Aave'in bir tutumu; olayın nihai çözümü, LayerZero ve Kelp DAO ile anlaşma sağlanıp sağlanamayacağına bağlıdır.
Sonraki durumla ilgili henüz daha fazla açıklama yapılmamış olsa da, benim kişisel görüşüm göre LayerZero, Layer2 haritalama token'larını vazgeçmek, LayerZero'nın çapraz zincir itibarını doğrudan tehdit edeceğinden bu planı kabul etmekte zorlanacaktır.
Potansiyel çözümler
Sorun nihayet çözülecek. Bu iki gün içinde sosyal medyadaki çeşitli uzmanlar Aave, LayerZero ve Kelp DAO için önerilerde bulunuyor.
DefiLlama kurucusu 0xngmi, üç olası senaryoyu inceledi ancak bu üç yolun da açıkça eksiklikleri olduğunu belirtti. İlk yol, tüm rsETH sahiplerinin %18,5 (kayıp token/serbest bırakılan token oranı) değer kaybını ortaklaşa üstlenmesi, Kelp DAO'nun kendi sorumluluğunu kabul etmesi ve Aave'nin ana ağda yaklaşık 216 milyon dolarlık kötü borç yükümlülüğüne girmesi; ikinci yol, tüm Layer2 eşlenen rsETH değerlerini göz ardı etmek, böylece Aave'nin ana ağ ürünü korunacak ancak Layer2 ekosistemi muhtemelen çökecek ve Kelp DAO'nun itibarı sıfırlanacak; üçüncü yol, hacker saldırısından önceki rsETH sahiplerine anlık resimdeki tam tutarında ödeme yapmak, ardından alınan veya aktarılan sahiplerin ise kayıpları kendi başına üstlenmesi ancak saldırıdan sonra fonların büyük ölçüde hareket etmiş olması nedeniyle bu senaryonun uygulanması neredeyse imkânsız.
OneKey kurucusu Yishi, “Şu anda en iyi sonuç, hakerlerle görüşüp %10–15 ödül verip büyük kısmı geri almak; herkes mutlu olur. Anlaşamazsak, LayerZero ekosistem fonu büyük kısmı karşılar; en zengin ve en uzun vadeli çıkarı olan bu fon, kaybettiği halde OFT ekosistemini koruyabilir. Kelp DAO en fakiri; ya token + gelecek gelirleriyle tamamlar ya da tam projeyi LayerZero veya Bitmine’e satar. Aave’in Umbrella ve stkAAVE’i son katmanı garanti altına alır, ancak WETH yatırımcıları kesinlikle değer düşüşüne maruz kalmamalı; aksi halde Morpho, Spark, Fluid, Euler tümüyle yeniden fiyatlanır, LRT sektörü genel olarak karalanan bir alan haline gelir ve tüm DeFi endüstrisi üç yıl geriye gider.”
Her durumda, milyonlarca dolarlık gerçek para söz konusu olduğundan, kimse en büyük aptal olmak istemiyor, bu yüzden tüm tarafların bir süre daha tartışmaya devam etmesi kaçınılmaz.
Ne kadar daha zaman gerektiğini belirlemek için önce de belirtildiği gibi, iki büyük oyuncu da uzun süre beklemek istemiyor. LayerZero, şu anda tüm ortak kurumlar ve protokoller tarafından durduruldu; eğer bu durum uzarsa, bu ortaklar kesinlikle çapraz zincir yollarını değiştirecek. Aave durumu da umut vermiyor; birçok fon havuzunun kullanım oranı %100'e ulaştı ve yatırımcılar "kilitli" durumda... Eğer ETH ani bir düşüş yaşarsa, Aave şu anda da olduğu gibi etkili bir teminat tahsili yapamadığı için daha fazla kötü alacak oluşabilecek ve bu sorun kar tanesi gibi büyüyerek artabilir — bu noktaya gelinirse, sektörün temelini bile zedeleyebilir ve açıkçası kimse bu durumu görmek istemez.