Автор: Гу Ю, ChainCatcher
Після того як було вкрадено більше 40 годин, ланцюгова реакція, спричинена Kelp DAO, продовжує поширюватися: все більше відомих проектів, таких як Aave, LayerZero, Arbitrum, втягуються в це, і навіть деякі популярні нарративи зазнають смертного приговору.
Відомий KOL Фен Вусян на платформі X сказав, що тепер лише ETH безпечний, а ARB також авторизував заморожування активів клієнтів. Мабуть, жоден L2 більше не є справжнім L2. L2 розквітнув завдяки Arbitrum і погиб через Arbitrum.
Інший відомий KOL, Lanhu, зазначив, що найбільші втрати в цій інциденті з kelp не стосуються Aave чи Kelp, а Layerzero, просто він занадто короткостроковий, щоб побачити суть події. Суть цієї події — не спростування L2 (якщо це хибний L2, то це інша справа), а спростування мостів між ланцюгами.
У суспільній дискусії все більше з’являється гострих поглядів: сторони, що причетні до події, заперечують один одному, що робить крадіжку Kelp DAO типовим вікном для спостереження за розподілом відповідальності за безпекові інциденти, а також конфліктом між прагматизмом і технічним фундаменталізмом.
I. L0 спростовано? Мостові з’єднання стають найбільшими програшами
Ключовим моментом події є детальний звіт про хакерську атаку, опублікований LayerZero вчора, який спочатку вказує на групу Lazarus з північнокорейським походженням. Атака була здійснена шляхом отруєння нижчестоячої інфраструктури RPC, від якої залежить їхня децентралізована мережа верифікації (DVN); зловмисники контролювали частину RPC-вузлів та супроводжували атаку DDoS, щоб спонукати систему переключитися на шкідливі вузли і таким чином підробити міжланцюгові транзакції.
«Використання скомпрометованих вузлів для отруєння інфраструктури RPC у поєднанні з DDoS-атаками на незатраждені RPC для примусового переключення є дуже складним методом. Це суттєво є інфраструктурною війною», — зауважив Семюел Це, керівник інвестицій та співпраці Animoca Brands.
У кінці звіту LayerZero зазначила, що протокол повністю працював за задумом протягом усієї події. У протоколі не було виявлено жодних вразливостей. Основною особливістю архітектури LayerZero є модульна безпека, і в цьому випадку вона ідеально виконала своє завдання, ізольовавши всю атаку всередині одного застосунку — система не мала жодного ризику зараження, і інші OFT чи OApp не були вплинуті.
Повна відмова від власної відповідальності стала катализатором масштабної реакції громадськості, і багато відомих фахівців галузі висловили незадоволення діями LayerZero у цій події.
«L0 відмовився визнати будь-яку вину, у всій статті перекладаючи вину виключно на помилку конфігурації KelpDAO, зберігаючи за собою ідеальну репутацію. Неймовірно. Чи можна пояснити, чому взагалі дозволено існування конфігурації 1/1? Чому список внутрішніх RPC-адрес потрапив у руки хакера? Чому логіка переключення на резервний варіант після DDoS-атаки безумовно довіряє зараженому RPC, а не зупиняє перевірку або хоча б щось робить?» — запитує відомий галузевий дослідник CM.
Ця свідома уникання позиція мене дуже незручна. У заяві чітко написано: «протокол працював повністю відповідно до очікувань». Атака описується як компрометація RPC-вузла та отруєння RPC. Але отруєння RPC — це не те саме; їхні власні інфраструктурні компоненти були взяті під контроль і пошкоджені. Оскільки в заяві не пояснюється, як відбулося вторгнення, я не буду поспішати знову увімкнути міст.» — сказав відомий DeFi-розробник banteg.
Офіційний представник Kelp DAO також висловився, зазначивши, що конфігурація з одним відправником (1/1), яка призвела до цієї атаки, не була вибором, зневажливим щодо рекомендацій, а є за замовчуванням у офіційних рекомендаціях LayerZero, а мережа відправників (DVN), яку використали зловмисники, є інфраструктурою, власною LayerZero.
За аналізом Dune, із 2665 OApp-контрактів на базі LayerZero, 47% використовують конфігурацію 1/1 DVN, тобто одиничний механізм верифікації, що різко збільшує ризики в галузі.
Що страшніше за виникнення проблем, так це те, що сторони не визнають помилок і уникують їх. LayerZero, як лідер у сфері міжланцюгової комунікації та концепції Layer0, використовується сотнями криптовалютних проектів для мостів між токенами та активами різних ланцюгів; якщо вони продовжуватимуть підтримувати надмірну самовпевненість, це неодмінно погіршить довіру галузі до них.
Загальна думка полягає в тому, що LayerZero, хоча й не був безпосередньо взламаний, зазнав найбільшої шкоди репутації — він повинен заплатити за «дозвіл слабких конфігурацій», інакше історія про міжланцюгові з’єднання розвалиться.
Іншими словами, LayerZero має не лише запропонувати чіткі технічні покращення, але й взяти на себе більше відповідальності щодо схеми компенсації активів.
Друге: Layer2 помер? Незвичайна блокування Arbitrum
Обговорення щодо Layer2 виникло через дії Arbitrum. Сьогодні вдень комітет безпеки Arbitrum опублікував повідомлення, в якому повідомив, що вжито термінових заходів для врятування 30 766 ETH, що знаходилися на адресі Arbitrum One, що зараз має вартість 71 мільйон доларів США.
Arbitrum також зазначив, що після численних технічних досліджень та розглядів, комітет безпеки визначив та реалізував технічний розв’язок, який дозволив перевести кошти до безпечного місця, не впливаючи на стан інших ланцюгів чи користувачів Arbitrum. Адреса, яка раніше мала доступ до цих коштів, більше не може їх використовувати; подальші дії з переміщення цих коштів можуть виконувати лише адміністрація Arbitrum, і ці дії будуть координуватися з відповідними сторонами.
За інтерпретацією фахівців галузі, комітет безпеки Arbitrum використав привілейований тип транзакції перевизначення стану (який є частиною ArbOS, але майже ніколи не використовувався), щоб дозволити приватному ключу атакуючого продовжувати підписувати транзакції, але ETH на цьому адресі було переведено самим ланцюгом.
Цей спеціальний тип угоди повністю обходить приватний ключ атакуючого; впровадити його може лише ланцюг (через шлях оновлення sequencer / ArbOS, що керується Безпечним комітетом Arbitrum).
За даними, рада безпеки Arbitrum складається з 12 осіб, яких обирає Arbitrum DAO, і будь-яке рішення потребує згоди 9 із 12 осіб.
Один камінь викликав тисячі хвиль. Раніше зовнішній світ вважав, що Arbitrum, як представницький Layer2, не має здатності чи повноважень обробляти ETH-активи користувачів, оскільки це суперечить децентралізованій суті блокчейну.
У минулих хакерських інцидентах USDT та USDC, які були вкрадені хакерами, зазвичай могли бути заморожені Tether та Circle відразу ж, щоб зменшити збитки користувачів. ETH як нативний актив ланцюга ніколи раніше не заморожувався та не пересувався самим ланцюгом, що виходить за межі очікувань більшості користувачів.
Багато точок зору підтримують підхід Arbitrum, наприклад: «Усі компанії, банки та офіційні фінансові установи в кінцевому підсумку використовуватимуть вторинну архітектуру. Діяти як централизований суб’єкт у критичний момент — це не недолік, а перевага». Але для більшості технічних ентузіастів це не так.
Без приватного ключа, без авторизації, пряме переказання. За багатьма думками, ця дія Arbitrum перевизначила ступінь децентралізації Layer2, що викликало відчуття невпевненості серед користувачів на Layer2.
Ланьху прямо сказав, що цей інцидент безпосередньо торкнувся червоної лінії основної ідеології DeFi: «Not Your keys, not your coins». Цей інцидент знову повертає нас до класичної дилеми криптовалют: практична безпека проти повністю децентралізованої безпеки.
Заключення
Коли LayerZero каже, що протокол працює повністю відповідно до очікувань, він зберігає технічну правильність, але втрачає публічну підтримку та довіру; коли Arbitrum переказує 71 мільйони доларів США ETH за допомогою привілеїв, він врятує кошти користувачів, але підірве нарратив про децентралізацію Layer2.
Криза з крадіжкою Kelp вивела на суд дві найпопулярніші історії: чи є мостами між ланцюгами інфраструктура чи посилювач ризиків? Чи є Layer2 надійним розширенням Ethereum чи лише під виглядом децентралізації — вторинним банком?
LayerZero був скомпрометований через механізм однієї перевіряючої вузла, Arbitrum використав централизований спеціальний механізм голосування, щоб відновити збитки LayerZero та Kelp DAO. Це утворює надзвичайно іронічний замкнений коло: протокол, що позиціонує себе як децентралізований, розвалився через свою «одноточкову вразливість» і змушений був звернутися до «централизованого привілею» іншого протоколу, щоб завершити це.
Він змусив весь індустрій стикнутися з питанням, на яке ніколи не отримували прямої відповіді: коли ідеал децентралізації зіштовхується з реальними витратами безпеки, яку сторону ми готові пожертвувати?
Обговорення великих історій є фокусом громадської думки, а схема компенсації користувачів — іншим реальним фокусом громадської думки. Навіть якщо Arbitrum за допомогою технічних засобів відновив понад 70 мільйонів доларів США, Aave все ще має близько 200 мільйонів доларів США просрочених боргів — як тоді забезпечити належну захисту та охорону інтересів користувачів?
У більшості хакерських інцидентів втрати в розмірі мільйонів доларів є катастрофою для протоколу, і відшкодування користувачів зазвичай закінчується нічим. Але цей інцидент стосується провідних проектів, таких як Aave та Layerzero, і їхні плани вирішення проблем з просроченими боргами привертають велику увагу.
Aave сьогодні запропонувала два можливих варіанти обробки неповернених боргів: перший — розподіл збитків між усіма власниками rsETH (розподіл по ланцюгу), Kelp DAO здійснює єдине зниження вартості для всіх rsETH (основна мережа + L2) (приблизно 15% відхилення); другий — лише власники rsETH на L2 несуть усі збитки, а rsETH на основній мережі залишаються з початковою вартістю.
Однак Kelp DAO та офіційний LayerZero до цих пір не коментували свою роль у схемі компенсації. З позиції LayerZero, що намагається уникнути відповідальності у звіті, легко зрозуміти, що проект вважає, що відсутність відповідальності означає відсутність обов’язку здійснювати компенсацію.
Проте те, що протокол з оцінкою в десятки мільярдів доларів, на який покладаються сотні проектів як на базову інфраструктуру, вибрав «технічне звільнення» від відповідальності за втрати, спричинені за замовчуванням DVN, — це саме собою є величезна іронія щодо визначення «базової інфраструктури».
Це типова ділема в’язня, де всі сторони, що перебувають у кризі, намагаються мінімізувати власні втрати шляхом «відокремлення інтересів», а не шляхом спільного несення відповідальності для відновлення довіри в галузі.
З урахуванням негативного впливу цієї події на всіх учасників галузі, для DeFi це буде найбільш небезпечним «дилемою в’язня» в історії.