DeFi está atrapado en el dilema del prisionero más peligroso de la historia.

Autor: Gu Yu, cazador de cadenas

Más de 40 horas después del robo, la reacción en cadena desencadenada por Kelp DAO continúa gestándose, involucrando a un número creciente de proyectos conocidos como Aave, LayerZero y Arbitrum, llegando incluso al punto en que algunas narrativas populares se enfrentan a una sentencia de muerte.

El conocido influencer Feng Wu Xiang afirmó en la plataforma X que ahora solo el ETH es seguro, y que la ARB también ha autorizado la congelación y transferencia de los activos de los clientes. Ya ningún L2 es realmente un L2. L2 prosperó gracias a Arbitrum y también pereció a causa de él.

Otro conocido influencer, Blue Fox, expresó que la mayor pérdida derivada de este incidente de Kelp no es para Aave ni para Kelp, sino para LayerZero, que simplemente tiene una visión demasiado limitada para comprender la esencia de todo el suceso. La esencia de este evento no es refutar L2 (aunque se trate de un L2 falso), sino refutar los puentes entre cadenas.

En el debate público surgen opiniones cada vez más extremas, con las partes implicadas defendiendo sus propios puntos de vista y echándose la culpa unas a otras, lo que convierte el incidente del robo en Kelp DAO en un ejemplo típico para observar la división de responsabilidades en los incidentes de seguridad y el conflicto entre el pragmatismo y el fundamentalismo tecnológico.

1. ¿Se ha refutado la condición L0? Los puentes de cadena cruzada como los grandes perdedores

El punto clave del incidente es el informe detallado sobre el ciberataque publicado ayer por LayerZero, que identifica preliminarmente al atacante como el Grupo Lazarus, vinculado a Corea del Norte. El ataque se logró envenenando la infraestructura RPC descendente de la que dependía su red de verificación descentralizada (DVN), con el atacante controlando algunos nodos RPC y coordinando un ataque DDoS para inducir al sistema a cambiar a nodos maliciosos, falsificando así transacciones entre cadenas.

"Utilizar los nodos comprometidos para envenenar la infraestructura RPC y combinarlo con ataques DDoS contra RPC no afectados para forzar la conmutación por error es un método muy complejo." "Esto es esencialmente una guerra de infraestructuras", comentó Samuel Tse, director de inversiones y alianzas de Animoca Brands.

Al final del informe, LayerZero afirmó que el protocolo funcionó exactamente como se esperaba durante todo el incidente. No se encontraron vulnerabilidades en el protocolo. La característica principal de la arquitectura de LayerZero es la seguridad modular, y en este caso, logró a la perfección su objetivo, aislando todo el ataque a una sola aplicación: riesgo de contagio cero para todo el sistema, y ​​otras aplicaciones OFT u OApp no ​​se vieron afectadas.

Esta completa exención de responsabilidad se convirtió en la mecha de una enorme reacción negativa por parte de la opinión pública, y muchas figuras destacadas de la industria expresaron su descontento con el desempeño de LayerZero en este incidente.

"L0 se eximió completamente de toda responsabilidad; todo el artículo atribuyó la culpa al error de configuración de KelpDAO, afirmando que no tenía ningún problema." Increíble. ¿Puedo preguntar por qué se permite que exista una configuración 1/1? ¿Por qué el atacante pudo acceder a la lista RPC interna? "¿Por qué la lógica de conmutación por error confió directamente en la RPC contaminada después del ataque DDoS, sin detener la verificación ni hacer nada?", replicó CM, un conocido investigador del sector.

"Esta evasión deliberada me incomoda mucho." El comunicado afirma claramente que "el protocolo funcionó exactamente como se esperaba". El ataque se describe como una vulneración de los nodos RPC y un envenenamiento de RPC. Pero el envenenamiento de RPC no es así; su propia infraestructura fue invadida y dañada. Dado que el comunicado no explica cómo se produjo la invasión, no me apresuraré a reactivar el puente", dijo el conocido desarrollador de DeFi, banteg.

Kelp DAO también respondió, afirmando que la configuración de un solo validador (1/1) que dio lugar a este ataque no fue una decisión tomada sin tener en cuenta las recomendaciones, sino la configuración predeterminada en las directrices oficiales de LayerZero, y que la red de validadores (DVN) explotada por el atacante es la propia infraestructura de LayerZero.

Según un análisis de Dune, de los 2.665 contratos OApp basados ​​en LayerZero, el 47% adoptó la configuración DVN 1/1, que es un mecanismo de validador único, lo que amplifica significativamente el riesgo del sector.

Más alarmante que los problemas surgidos es la negativa de las partes involucradas a reconocer sus errores y eludir su responsabilidad. Como líder en comunicación entre cadenas y narrativas de capa 0, cientos de proyectos de criptomonedas utilizan su infraestructura entre cadenas para conectar tokens y activos entre diferentes cadenas. Si continúa manteniendo una postura arrogante, inevitablemente afectará aún más la confianza que la industria tiene en ella.

La opinión pública cree generalmente que, si bien LayerZero no fue pirateada directamente, su reputación fue la más perjudicada; debe pagar el precio por "permitir configuraciones débiles", o de lo contrario la narrativa sobre la seguridad entre cadenas se derrumbará.

En otras palabras, LayerZero no solo necesita proponer medidas claras de mejora técnica, sino que también necesita asumir una mayor responsabilidad en los planes de compensación de activos.

2. ¿Layer2 está muerta? La extraordinaria congelación de Arbitrum

Los debates en torno a Layer2 se derivan de las medidas de congelación adoptadas por Arbitrum. Hoy al mediodía, el Comité de Seguridad de Arbitrum anunció que había tomado medidas de emergencia para rescatar 30.766 ETH almacenados en la dirección de Arbitrum One por el hacker, valorados actualmente en 71 millones de dólares estadounidenses.

Arbitrum también declaró que, tras una exhaustiva investigación y revisión técnica, el Comité de Seguridad determinó y ejecutó una solución técnica para transferir los fondos a una ubicación segura sin afectar el estado de ninguna otra cadena ni a los usuarios de Arbitrum. La dirección original donde se encuentran los fondos ya no puede acceder a ellos, y solo la administración de Arbitrum puede tomar medidas adicionales para transferir dichos fondos, lo cual se coordinará con las partes pertinentes.

Según las interpretaciones del sector, el Comité de Seguridad de Arbitrum utilizó un tipo de transacción de superposición de estado privilegiado (parte de ArbOS pero prácticamente nunca utilizado) que permitía que la clave privada del atacante siguiera firmando transacciones, pero el ETH de esa dirección se transfería a través de la propia cadena.

Este tipo de transacción especial eludía por completo la clave privada del atacante, y solo la propia cadena (a través del secuenciador/ruta de actualización de ArbOS controlada por el Comité de Seguridad de Arbitrum) podía inyectarla.

Según se informa, el Comité de Seguridad de Arbitrum está compuesto por 12 personas elegidas por la DAO de Arbitrum, y cualquier decisión requiere el acuerdo de 9 de los 12 miembros.

Una piedra desató mil olas. Anteriormente, parecía que Arbitrum, como representante de Layer2, no tenía la capacidad ni la autoridad para gestionar los activos ETH de los usuarios, ya que esto contradice el espíritu descentralizado de la cadena de bloques.

En incidentes de piratería informática anteriores, Tether y Circle solían congelar inmediatamente los USDT y USDC robados por los piratas informáticos para reducir las pérdidas de los usuarios. ETH, como activo nativo de la cadena, históricamente nunca ha sido congelado ni transferido por la propia cadena, superando las expectativas de la mayoría de los usuarios.

Numerosos puntos de vista respaldan las acciones de Arbitrum, como por ejemplo: "Todas las empresas, bancos e instituciones financieras legítimas acabarán adoptando una arquitectura secundaria". Operar como una entidad centralizada en momentos críticos no es un defecto, sino una ventaja. Sin embargo, para los más expertos en tecnología, no es así.

"No se necesitan claves privadas, no se necesita autorización, transferencia directa." Desde muchos puntos de vista, se puede decir que la operación de Arbitrum en esta ocasión redefine el grado de descentralización de la Capa 2, lo que genera una sensación de falta de seguridad en dicha capa.

Blue Fox declaró sin rodeos que este incidente ha tocado directamente la línea roja ideológica de DeFi: "Ni tus llaves, ni tus monedas." Este incidente nos ha llevado de nuevo al clásico dilema de las criptomonedas: seguridad pragmática frente a seguridad completamente descentralizada.

Conclusión

Cuando LayerZero afirma que "el protocolo funcionó exactamente como se esperaba", preserva la corrección técnica pero pierde la opinión pública y la confianza; cuando Arbitrum transfirió 71 millones de dólares en ETH mediante transacciones privilegiadas, ahorró fondos de los usuarios pero dañó gravemente la narrativa de descentralización de Layer2.

El incidente del robo de algas marinas ha puesto a prueba simultáneamente dos de las narrativas más candentes: ¿La infraestructura de puentes entre cadenas es un amplificador de riesgos? ¿Es Layer2 una expansión fiable de Ethereum o un banco secundario disfrazado de descentralización?

LayerZero se vio comprometido debido a un mecanismo de nodo con un único validador, mientras que Arbitrum utilizó un mecanismo de votación especial centralizado para recuperar las pérdidas de LayerZero y Kelp DAO. Esto crea un círculo vicioso sumamente irónico: un protocolo que se enorgullece de su descentralización colapsa debido a su "único punto débil"; en última instancia, tiene que depender del "privilegio centralizado" de otro protocolo para resolver la situación.

Esto obliga a toda la industria a afrontar una pregunta que nunca ha sido respondida directamente: Cuando el ideal de la descentralización choca con los costes de seguridad de la realidad, ¿qué lado estamos dispuestos a sacrificar?

El debate sobre las grandes narrativas es un punto central de la opinión pública, mientras que los planes de compensación para los usuarios constituyen otro punto central realista. Aunque Arbitrum recupere más de 70 millones de dólares por medios técnicos, Aave aún se enfrenta a casi 200 millones de dólares en deudas incobrables; ¿cómo se pueden mantener y proteger adecuadamente los intereses de los usuarios?

En la gran mayoría de los incidentes de piratería informática, las pérdidas de decenas de millones de dólares resultan catastróficas para los protocolos, y las reclamaciones de indemnización de los usuarios a menudo fracasan. Sin embargo, este incidente involucra a proyectos estrella como Aave y LayerZero, lo que hace que la gestión de las deudas incobrables sea objeto de un escrutinio exhaustivo.

Hoy, Aave propuso dos posibles planes para gestionar las deudas incobrables: el primero consiste en socializar las pérdidas entre todos los poseedores de rsETH (repartidas en toda la cadena), con Kelp DAO reduciendo uniformemente el valor de todos los rsETH (red principal + L2) en aproximadamente un 15% mediante un desacoplamiento; el segundo consiste en permitir que solo los poseedores de rsETH en L2 asuman todas las pérdidas, mientras que el rsETH de la red principal mantiene su valor original.

Sin embargo, los responsables de Kelp DAO y LayerZero aún no han hablado sobre su papel en el plan de compensación. Del intento de LayerZero por eximirse de responsabilidad en el informe, no es difícil ver que el proyecto cree que sin responsabilidad, no hay obligación de indemnización.

Sin embargo, que un protocolo valorado en miles de millones de dólares, considerado una dependencia fundamental por cientos de proyectos, opte por la "exención técnica" ante las enormes pérdidas causadas por la configuración predeterminada de DVN, es en sí mismo una gran ironía para la definición de "infraestructura subyacente".

Se trata de un típico dilema del prisionero, donde todas las partes en crisis intentan minimizar sus pérdidas mediante "recortes de intereses" en lugar de subsanar el déficit de confianza del sector compartiendo la responsabilidad.

Por el impacto negativo que este incidente tendrá en todas las partes del sector, para el sector DeFi, este será el dilema del prisionero más peligroso de la historia.