La finance décentralisée (DeFi) est prise au piège du dilemme du prisonnier le plus dangereux de l'histoire.

Auteur: Gu Yu, attrape-chaîne

Plus de 40 heures après le vol, la réaction en chaîne déclenchée par Kelp DAO continue de se propager, impliquant un nombre croissant de projets bien connus tels que Aave, LayerZero et Arbitrum, atteignant même un niveau où certains récits populaires sont menacés de disparition.

Le célèbre influenceur Feng Wu Xiang a déclaré sur la plateforme X que seul l'ETH est désormais en sécurité, et ARB a également autorisé le gel et le transfert des actifs des clients. Plus aucun niveau L2 n'est véritablement un niveau L2. L2 a prospéré grâce à Arbitrum et a également péri à cause de lui.

Un autre influenceur bien connu, Blue Fox, a déclaré que la plus grande perte dans cet incident lié au varech n'est ni Aave ni le varech, mais LayerZero, qui manque tout simplement de vision à court terme pour saisir l'essence de l'événement dans son ensemble. L'objectif de cet événement n'est pas de réfuter L2 (même s'il s'agit d'un faux L2), mais de réfuter les ponts inter-chaînes.

Des opinions de plus en plus tranchées émergent dans le débat public, les parties impliquées défendant chacune leur point de vue et se rejetant la faute, faisant de l'incident de vol de Kelp DAO un exemple typique de la répartition des responsabilités dans les incidents de sécurité et du conflit entre pragmatisme et fondamentalisme technologique.

1. L0 est-il réfuté ? Les ponts à chaînes transversales, grands perdants

L'élément clé de cet incident est le rapport détaillé sur le piratage publié hier par LayerZero, qui identifie provisoirement l'attaquant comme étant le groupe Lazarus, lié à la Corée du Nord. L'attaque a été réalisée en empoisonnant l'infrastructure RPC en aval sur laquelle repose son réseau de vérification décentralisé (DVN), l'attaquant contrôlant certains nœuds RPC et coordonnant une attaque DDoS pour inciter le système à basculer vers des nœuds malveillants, falsifiant ainsi des transactions inter-chaînes.

« Utiliser les nœuds compromis pour empoisonner l'infrastructure RPC et combiner cela avec des attaques DDoS sur les RPC non affectés pour forcer le basculement est une méthode très complexe. » « Il s'agit essentiellement d'une guerre des infrastructures », a commenté Samuel Tse, responsable des investissements et des partenariats chez Animoca Brands.

À la fin du rapport, LayerZero a déclaré que le protocole avait fonctionné parfaitement comme prévu tout au long de l'incident. Aucune vulnérabilité n'a été trouvée dans le protocole. La caractéristique principale de l'architecture de LayerZero est la sécurité modulaire, et dans ce cas, elle a parfaitement atteint son objectif, isolant l'attaque entière à une seule application — aucun risque de contagion pour l'ensemble du système, et les autres OFT ou OApp n'ont pas été affectées.

Ce dédouanement total a déclenché une vive réaction de l'opinion publique, de nombreuses personnalités connues du secteur exprimant leur mécontentement quant à la gestion de cet incident par LayerZero.

« L0 s'est complètement disculpé, l'article entier rejetant toute la faute sur une erreur de configuration de KelpDAO, affirmant qu'il n'y avait absolument aucun problème. » Incroyable. Puis-je demander pourquoi une configuration 1/1 est autorisée ? Pourquoi l'attaquant a-t-il pu accéder à la liste RPC interne ? « Pourquoi la logique de basculement a-t-elle directement fait confiance à l'appel de procédure distante contaminé après l'attaque DDoS, sans interrompre la vérification ni même effectuer la moindre action ? », a rétorqué CM, chercheur réputé du secteur.

« Ce refus délibéré me met très mal à l'aise. » Le communiqué indique clairement que « le protocole a fonctionné parfaitement comme prévu ». L'attaque est décrite comme une compromission des nœuds RPC et un empoisonnement RPC. Mais l'empoisonnement par RPC est différent ; leurs propres infrastructures ont été envahies et endommagées. Étant donné que la déclaration n'explique pas comment l'invasion a eu lieu, je ne me précipiterai pas pour réactiver le pont », a déclaré banteg, développeur DeFi bien connu.

Kelp DAO a également répondu, déclarant que la configuration à validateur unique (1/1) qui a conduit à cette attaque n'était pas un choix fait au mépris des conseils, mais le paramètre par défaut des directives officielles de LayerZero, et que le réseau de validateurs (DVN) exploité par l'attaquant est l'infrastructure propre de LayerZero.

Selon une analyse de Dune, parmi les 2 665 contrats OApp basés sur LayerZero, 47 % ont adopté la configuration DVN 1/1, qui est un mécanisme à validateur unique, amplifiant considérablement le risque du secteur.

Plus inquiétant encore que les problèmes qui sont apparus est le refus des parties impliquées de reconnaître leurs erreurs et de se dérober à leurs responsabilités. En tant qu'acteur numéro un de la communication inter-chaînes et des récits de couche 0, des centaines de projets crypto utilisent son infrastructure inter-chaînes pour faire le lien entre les jetons et les actifs sur différentes chaînes. Si elle persiste dans cette attitude arrogante, cela finira inévitablement par affecter davantage la confiance que lui accorde le secteur.

L'opinion publique estime généralement que, même si LayerZero n'a pas été directement piraté, c'est sa réputation qui a le plus souffert : l'entreprise doit payer le prix d'avoir « autorisé des configurations faibles », sous peine de voir le discours inter-chaînes s'effondrer.

En d'autres termes, LayerZero doit non seulement proposer des mesures d'amélioration technique claires, mais aussi assumer davantage de responsabilités dans les plans de compensation des actifs.

2. Layer2 est-il mort ? Gel extraordinaire d'Arbitrum

Les discussions concernant Layer2 découlent des actions de gel d'Arbitrum. Aujourd'hui à midi, le Comité de sécurité d'Arbitrum a annoncé avoir pris des mesures d'urgence pour récupérer 30 766 ETH stockés à l'adresse Arbitrum One par le pirate informatique, d'une valeur actuelle de 71 millions de dollars américains.

Arbitrum a également déclaré qu'après une enquête et un examen techniques approfondis, le Comité de sécurité a déterminé et mis en œuvre une solution technique pour transférer les fonds vers un emplacement sécurisé sans affecter l'état d'aucune autre chaîne ou des utilisateurs d'Arbitrum. L'adresse initiale détenant les fonds ne peut plus y accéder, et seule la direction d'Arbitrum peut prendre des mesures pour transférer ces fonds, en coordination avec les parties concernées.

Selon les interprétations du secteur, le comité de sécurité d'Arbitrum a utilisé un type de transaction de superposition d'état privilégié (faisant partie d'ArbOS mais pratiquement jamais utilisé) qui permettait à la clé privée de l'attaquant de toujours signer des transactions, mais l'ETH de cette adresse était transféré par la chaîne elle-même.

Ce type de transaction particulier contournait complètement la clé privée de l'attaquant, et seule la chaîne elle-même (via le séquenceur / chemin de mise à niveau ArbOS contrôlé par le comité de sécurité d'Arbitrum) pouvait l'injecter.

Il est rapporté que le Comité de sécurité d'Arbitrum est composé de 12 personnes élues par l'Arbitrum DAO, et que toute décision nécessite l'accord de 9 membres sur 12.

Une pierre a soulevé mille vagues. Auparavant, il semblait qu'Arbitrum, en tant que représentant de la couche 2, n'avait pas la capacité ou l'autorité de gérer les actifs ETH des utilisateurs, car cela contredit l'esprit décentralisé de la blockchain.

Lors d'incidents de piratage antérieurs, les USDT et USDC volés par les pirates pouvaient souvent être immédiatement gelés par Tether et Circle afin de limiter les pertes des utilisateurs. L'ETH, en tant qu'actif natif de la chaîne, n'a historiquement jamais été gelé ni transféré par la chaîne elle-même, dépassant les attentes de la plupart des utilisateurs.

De nombreux points de vue soutiennent les actions d'Arbitrum, tels que « Toutes les entreprises, banques et institutions financières légitimes adopteront finalement une architecture secondaire. « Faire preuve d’une entité centralisée dans les moments critiques n’est pas un défaut, mais un avantage. » Cependant, pour les passionnés de technologie, ce n'est pas le cas.

« Pas besoin de clés privées, pas besoin d'autorisation, transfert direct. » De nombreux observateurs estiment que l'opération menée cette fois par Arbitrum redéfinit le degré de décentralisation de la couche 2, engendrant un sentiment d'insécurité sur cette dernière.

Blue Fox a déclaré sans ambages que cet incident avait directement touché la ligne rouge idéologique de la DeFi : « Ni vos clés, ni vos pièces. » Cet incident a ravivé le dilemme classique des cryptomonnaies : sécurité pragmatique contre sécurité totalement décentralisée.

Conclusion

Lorsque LayerZero affirme que « le protocole a fonctionné entièrement comme prévu », il a préservé l'exactitude technique mais a perdu l'opinion publique et la confiance ; lorsque Arbitrum a transféré 71 millions de dollars en ETH en utilisant des transactions privilégiées, il a préservé les fonds des utilisateurs mais a gravement nui au discours de décentralisation de Layer2.

L’affaire du vol d’algues a simultanément mis sur le banc des accusés deux des récits les plus brûlants : L’infrastructure de pontage inter-chaînes est-elle un facteur d’amplification des risques ou un outil de contrôle des risques ? Layer2 est-il une extension fiable d'Ethereum ou une banque secondaire déguisée en décentralisation ?

LayerZero a été compromis en raison d'un mécanisme de nœud validateur unique, tandis qu'Arbitrum a utilisé un mécanisme de vote spécial centralisé pour récupérer les pertes de LayerZero et de Kelp DAO. Cela forme un cercle vicieux extrêmement ironique : un protocole qui se targue de sa décentralisation s’effondre à cause de son « unique point faible » ; finalement, il doit s’appuyer sur le « privilège centralisé » d’un autre protocole pour résoudre la situation.

Cela oblige l'ensemble du secteur à se confronter à une question qui n'a jamais reçu de réponse directe : Lorsque l'idéal de décentralisation se heurte aux coûts sécuritaires de la réalité, quel camp sommes-nous prêts à sacrifier ?

Le débat sur les grands récits est un point central de l'opinion publique, tandis que les plans de compensation des utilisateurs constituent un autre point central réaliste. Même si Arbitrum récupère plus de 70 millions de dollars par des moyens techniques, Aave reste confrontée à près de 200 millions de dollars de créances irrécouvrables ; comment les intérêts des utilisateurs peuvent-ils être correctement préservés et protégés ?

Dans la grande majorité des incidents de piratage, les pertes se chiffrant en dizaines de millions de dollars sont catastrophiques pour les protocoles, et les demandes d'indemnisation des utilisateurs se soldent souvent par un échec. Cependant, cet incident implique des projets phares tels que Aave et LayerZero, ce qui rend la gestion des créances irrécouvrables particulièrement scrutée.

Aave a proposé aujourd'hui deux plans possibles de gestion des créances irrécouvrables : le premier consiste à socialiser les pertes entre tous les détenteurs de rsETH (réparties sur l'ensemble de la chaîne), Kelp DAO réduisant uniformément la valeur de tous les rsETH (réseau principal + L2) d'environ 15 % (découplage) ; le second consiste à laisser uniquement les détenteurs de rsETH sur L2 supporter toutes les pertes, tandis que le rsETH du réseau principal conserve sa valeur d'origine.

Cependant, les responsables de Kelp DAO et de LayerZero n'ont pas encore abordé leur rôle dans le plan de rémunération. La tentative de LayerZero de se dégager de toute responsabilité dans le rapport montre clairement que le projet considère que sans responsabilité, il n'y a pas d'obligation d'indemnisation.

Cependant, le fait qu'un protocole évalué à des milliards de dollars, considéré comme une dépendance fondamentale par des centaines de projets, choisisse une « exemption technique » face aux pertes massives causées par la configuration par défaut de DVN constitue en soi une énorme ironie par rapport à la définition d'« infrastructure sous-jacente ».

Il s'agit d'un dilemme typique du prisonnier, où toutes les parties en crise tentent de minimiser leurs pertes par des « baisses de taux d'intérêt » plutôt que de réparer le déficit de confiance du secteur en partageant les responsabilités.

Compte tenu de l'impact négatif de cet incident sur toutes les parties prenantes du secteur, et notamment pour le secteur de la DeFi, il s'agira du dilemme du prisonnier le plus dangereux de l'histoire.