DeFi ist in dem gefährlichsten Gefangenendilemma der Geschichte gefangen.

Autor: Gu Yu, ChainCatcher

Mehr als 40 Stunden nach dem Diebstahl fermentiert die durch Kelp DAO ausgelöste Kettenreaktion weiter und betrifft eine zunehmende Anzahl bekannter Projekte wie Aave, LayerZero und Arbitrum, wobei sogar das Niveau erreicht wird, auf dem einige populäre Narrative einem Todesurteil gegenüberstehen.

Der bekannte KOL Feng Wu Xiang erklärte auf der X-Plattform, dass nur ETH jetzt sicher sei, und ARB hat auch die Autorisierung zur Einfrierung und Übertragung von Kundenvermögen erteilt. Kein L2 ist mehr wirklich ein L2. L2 florierte auf Arbitrum und starb auch wegen ihm.

Ein weiterer bekannter KOL, Blue Fox, äußerte, dass der größte Verlust aus diesem Kelp-Vorfall nicht Aave oder Kelp sei, sondern LayerZero, das einfach zu kurzsichtig sei, um das Wesen des gesamten Ereignisses zu erkennen. Das Wesen dieses Ereignisses besteht nicht darin, L2 zu widerlegen (auch wenn es ein falsches L2 ist), sondern darin, Cross-Chain-Brücken zu widerlegen.

Immer intensivere Meinungen tauchen im öffentlichen Diskurs auf, wobei die beteiligten Parteien jeweils ihre eigenen Ansichten vertreten und die Schuld zuschieben, was den Kelp DAO Diebstahl zu einem typischen Fenster macht, um die Verantwortungsteilung bei Sicherheitsvorfällen und den Konflikt zwischen Pragmatismus und technologischem Fundamentalismus zu beobachten.

1. Ist L0 widerlegt? Cross-Chain-Brücken als die größten Verlierer

Der entscheidende Punkt des Vorfalls ist der detaillierte Bericht über den Hack, der gestern von LayerZero veröffentlicht wurde und den Angreifer vorläufig als die Lazarus-Gruppe mit nordkoreanischen Verbindungen identifiziert. Der Angriff wurde erreicht, indem die downstream RPC-Infrastruktur, auf die sich das dezentrale Verifizierungsnetzwerk (DVN) stützt, vergiftet wurde, wobei der Angreifer einige RPC-Knoten kontrollierte und einen DDoS-Angriff koordinierte, um das System zu veranlassen, auf bösartige Knoten umzuschalten und so Cross-Chain-Transaktionen zu fälschen.

"Die kompromittierten Knoten zu nutzen, um die RPC-Infrastruktur zu vergiften und dies mit DDoS-Angriffen auf nicht betroffene RPCs zu kombinieren, um einen Failover zu erzwingen, ist eine sehr komplexe Methode. Das ist im Wesentlichen ein Infrastrukturkrieg," kommentierte Samuel Tse, Leiter Investitionen und Partnerschaften bei Animoca Brands.

Am Ende des Berichts erklärte LayerZero, dass das Protokoll während des gesamten Vorfalls vollständig wie erwartet funktionierte. Es wurden keine Schwachstellen im Protokoll gefunden. Das Kernmerkmal der Architektur von LayerZero ist die modulare Sicherheit, und in diesem Fall wurde das beabsichtigte Ziel perfekt erreicht, indem der gesamte Angriff auf eine einzige Anwendung isoliert wurde – kein Ansteckungsrisiko für das gesamte System, und andere OFT oder OApp wurden nicht betroffen.

Diese vollständige Abwälzung der Verantwortung wurde zum Auslöser für einen enormen Rückschlag in der öffentlichen Meinung, wobei viele bekannte Persönlichkeiten der Branche ihre Unzufriedenheit mit der Leistung von LayerZero in diesem Vorfall zum Ausdruck brachten.

"L0 hat sich vollständig entlastet, der gesamte Artikel schob die Schuld auf den Konfigurationsfehler von KelpDAO und behauptete, es habe überhaupt keine Probleme gegeben." Unglaublich. Darf ich fragen, warum eine 1/1-Konfiguration existieren darf? Warum konnte der Angreifer auf die interne RPC-Liste zugreifen? Warum hat die Failover-Logik nach dem DDoS direkt dem kontaminierten RPC vertraut, ohne die Überprüfung zu stoppen oder sogar etwas zu unternehmen?" entgegnete der bekannte Branchenforscher CM.

"Diese absichtliche Vermeidung macht mich sehr unwohl." Die Aussage besagt klar: 'Das Protokoll arbeitete vollständig wie erwartet.' Der Angriff wird als Kompromittierung von RPC-Knoten und RPC-Vergiftung beschrieben. Aber RPC-Vergiftung ist nicht so; ihre eigene Infrastruktur wurde angegriffen und beschädigt. Da die Aussage nicht erklärt, wie die Invasion stattfand, werde ich nicht übereilt die Brücke wieder aktivieren," sagte der bekannte DeFi-Entwickler banteg.

Kelp DAO reagierte ebenfalls und erklärte, dass die Single-Validator (1/1)-Konfiguration, die zu diesem Angriff führte, keine Entscheidung war, die in Missachtung von Ratschlägen getroffen wurde, sondern die Standardeinstellung in den offiziellen Richtlinien von LayerZero, und das vom Angreifer ausgenutzte Validatorennetzwerk (DVN) ist die eigene Infrastruktur von LayerZero.

Laut Analysen von Dune haben von den 2.665 OApp-Verträgen, die auf LayerZero basieren, 47 % die 1/1 DVN-Konfiguration übernommen, die einen Single-Validator-Mechanismus darstellt und das Risiko in der Branche erheblich verstärkt.

Furchtbarer als die aufgetretenen Probleme ist die Weigerung der beteiligten Parteien, Fehler anzuerkennen und Verantwortung zu übernehmen. Als der führende Akteur in der cross-chain Kommunikation und Layer0-Erzählungen nutzen Hunderte von Krypto-Projekten die cross-chain Infrastruktur, um Token und Vermögenswerte über verschiedene Chains hinweg zu verbinden. Wenn es weiterhin eine arrogante Haltung einnimmt, wird dies unweigerlich das Vertrauen der Branche in es weiter beeinträchtigen.

Die öffentliche Meinung ist allgemein der Ansicht, dass, obwohl LayerZero nicht direkt gehackt wurde, sein Ruf am meisten gelitten hat – es muss den Preis für "schwache Konfigurationen zulassen" zahlen, andernfalls wird die cross-chain Erzählung zusammenbrechen.

Mit anderen Worten, LayerZero muss nicht nur klare technische Verbesserungsmaßnahmen vorschlagen, sondern auch mehr Verantwortung in den Plänen zur Vermögensentschädigung übernehmen.

2. Ist Layer2 tot? Arbitrum's außergewöhnliche Einfrierung

Die Diskussionen über Layer2 ergeben sich aus den Einfrierungsmaßnahmen von Arbitrum. Heute Mittag gab das Arbitrum-Sicherheitsteam bekannt, dass es Notfallmaßnahmen ergriffen hat, um 30.766 ETH, die von dem Hacker im Arbitrum One-Adresse gespeichert sind, zu retten, was derzeit einem Wert von 71 Millionen USD entspricht.

Arbitrum erklärte außerdem, dass das Sicherheitsteam nach umfangreicher technischer Untersuchung und Überprüfung eine technische Lösung bestimmt und umgesetzt hat, um die Gelder an einen sicheren Ort zu transferieren, ohne den Zustand anderer Ketten oder Arbitrum-Nutzer zu beeinträchtigen. Die ursprüngliche Adresse, die die Gelder hielt, kann nicht mehr darauf zugreifen, und nur die Arbitrum-Verwaltung kann weitere Maßnahmen ergreifen, um diese Gelder zu transferieren, was mit den relevanten Parteien koordiniert wird.

Laut Brancheninterpretationen verwendete das Arbitrum-Sicherheitsteam einen privilegierten Status-Overlay-Transaktionstyp (Teil von ArbOS, aber im Wesentlichen nie verwendet), der es dem privaten Schlüssel des Angreifers ermöglichte, weiterhin Transaktionen zu signieren, während die ETH von dieser Adresse durch die Kette selbst transferiert wurde.

Dieser spezielle Transaktionstyp umging vollständig den privaten Schlüssel des Angreifers, und nur die Kette selbst (über den Sequencer / ArbOS-Upgrade-Pfad, der vom Arbitrum-Sicherheitsteam kontrolliert wird) konnte ihn injizieren.

Es wird berichtet, dass das Arbitrum-Sicherheitsteam aus 12 Personen besteht, die von der Arbitrum-DAO gewählt wurden, und jede Entscheidung erfordert die Zustimmung von 9 von 12 Mitgliedern.

Ein Stein wirbelte tausend Wellen auf. Früher schien es, dass Arbitrum als repräsentatives Layer2 nicht die Fähigkeit oder Autorität hatte, die ETH-Vermögenswerte der Nutzer zu verwalten, da dies dem dezentralen Geist der Blockchain widerspricht.

Bei früheren Hacking-Vorfällen konnten die von Hackern gestohlenen USDT und USDC oft sofort von Tether und Circle eingefroren werden, um die Verluste der Nutzer zu reduzieren. ETH, als natives Asset der Kette, wurde historisch gesehen nie von der Kette selbst eingefroren und transferiert, was die Erwartungen der meisten Nutzer überstieg.

Viele Standpunkte unterstützen die Maßnahmen von Arbitrum, wie "Alle Unternehmen, Banken und legitimen Finanzinstitutionen werden letztendlich eine sekundäre Architektur übernehmen. Wie eine zentralisierte Einheit in kritischen Momenten zu agieren, ist kein Mangel, sondern ein Vorteil." Für technisch versierte Personen ist es jedoch nicht so.

"Keine Notwendigkeit für private Schlüssel, keine Notwendigkeit für Autorisierung, direkter Transfer." In vielen Ansichten kann gesagt werden, dass das Handeln von Arbitrum in diesem Fall den Grad der Dezentralisierung von Layer2 neu definiert, was ihnen ein Gefühl der Unsicherheit auf Layer2 vermittelt.

Blue Fox erklärte offen, dass dieser Vorfall direkt die ideologische rote Linie von DeFi berührt hat: "Nicht deine Schlüssel, nicht deine Münzen." Dieser Vorfall hat das klassische Dilemma der Kryptowährung zurückgebracht: pragmatische Sicherheit vs. vollständig dezentrale Sicherheit.

Fazit

Als LayerZero sagt, "das Protokoll funktionierte vollständig wie erwartet", bewahrte es die technische Korrektheit, verlor jedoch die öffentliche Meinung und das Vertrauen; als Arbitrum 71 Millionen USD in ETH durch privilegierte Transaktionen übertrug, rettete es die Benutzerfonds, beschädigte jedoch erheblich die Dezentralisierungsnarrative von Layer2.

Der Diebstahlvorfall von Kelp hat gleichzeitig zwei der heißesten Narrative auf die Probe gestellt: Ist die Cross-Chain-Brückeninfrastruktur oder ein Risikoverstärker? Ist Layer2 eine zuverlässige Erweiterung von Ethereum oder eine sekundäre Bank, die sich als Dezentralisierung tarnt?

LayerZero wurde aufgrund eines Mechanismus mit einem einzelnen Validator-Knoten kompromittiert, während Arbitrum einen zentralisierten speziellen Abstimmungsmechanismus verwendete, um Verluste für LayerZero und Kelp DAO zu decken. Dies bildet einen äußerst ironischen geschlossenen Kreis: Ein Protokoll, das sich auf Dezentralisierung rühmt, bricht aufgrund seines "einzigen Schwachpunkts" zusammen; letztendlich muss es sich auf das "zentralisierte Privileg" eines anderen Protokolls verlassen, um die Situation zu lösen.

Es zwingt die gesamte Branche, sich einer Frage zu stellen, die nie direkt beantwortet wurde: Wenn das Ideal der Dezentralisierung mit den Sicherheitskosten der Realität kollidiert, welche Seite sind wir bereit zu opfern?

Die Diskussion über große Narrative ist ein Brennpunkt der öffentlichen Meinung, während Benutzerentschädigungspläne ein weiterer realistischer Brennpunkt sind. Selbst wenn Arbitrum über 70 Millionen USD durch technische Mittel zurückgewinnt, sieht sich Aave immer noch mit fast 200 Millionen USD an faulen Schulden konfrontiert; wie können die Interessen der Benutzer angemessen gewahrt und geschützt werden?

In der überwiegenden Mehrheit der Hacking-Vorfälle sind Verluste in Höhe von mehreren zehn Millionen Dollar katastrophal für Protokolle, und die Ansprüche der Benutzer auf Entschädigung enden oft im Misserfolg. Dieser Vorfall betrifft jedoch führende Starprojekte wie Aave und LayerZero, was die Handhabung von faulen Schulden stark unter die Lupe nimmt.

Aave schlug heute zwei mögliche Pläne zur Handhabung fauler Schulden vor: Der erste besteht darin, die Verluste unter allen rsETH-Inhabern zu sozialisieren (über die gesamte Kette verteilt), wobei Kelp DAO den Wert aller rsETH (Mainnet + L2) um etwa 15 % entkoppelt; der zweite besteht darin, nur die rsETH-Inhaber auf L2 alle Verluste tragen zu lassen, während der Mainnet rsETH seinen ursprünglichen Wert beibehält.

Kelp DAO und die Beamten von LayerZero haben jedoch noch nicht über ihre Rollen im Entschädigungsplan diskutiert. Aus LayerZeros Versuch, sich im Bericht von der Verantwortung zu befreien, ist nicht schwer zu erkennen, dass das Projekt glaubt, dass ohne Verantwortung keine Verpflichtung zur Entschädigung besteht.

Ein Protokoll, das mit Milliarden von Dollar bewertet wird und von Hunderten von Projekten als grundlegende Abhängigkeit angesehen wird, wählt jedoch "technische Befreiung" angesichts massiver Verluste, die durch die Standardkonfiguration von DVN verursacht wurden, was selbst eine große Ironie für die Definition von "unterliegender Infrastruktur" ist.

Dies ist ein typisches Dilemma des Gefangenen, bei dem alle Parteien in der Krise versuchen, ihre Verluste durch "Zinskürzungen" zu minimieren, anstatt das Vertrauensdefizit der Branche durch Teilung der Verantwortung zu reparieren.

Aus den negativen Auswirkungen dieses Vorfalls auf alle Parteien in der Branche wird dies für den DeFi-Sektor das gefährlichste Dilemma des Gefangenen in der Geschichte sein.