Вкрадено: 290 мільйонів доларів, три сторони відмовляються визнавати, хто повинен оплатити розв'язання інциденту з KelpDAO?

Оригінальний заголовок: "Трилема в $290-мільйонній ямі: Aave, L0, Kelp – хто оплатить рахунок?"
Оригінальний автор: Ацума, Odaily Planet Daily

Минуло понад 30 годин з моменту експлуатації контракту моста rsETH від Kelp DAO. Залучені сторони (LayerZero, Kelp DAO, Aave) зробили заяви одна за одною (в основному перекладаючи провину і підкреслюючи свою невинність), але ще не надали остаточного рішення.

Тому ця стаття має на меті обговорити поточні позиції та ставлення залучених сторін, дослідити причини затримки з рішенням і припустити, як подія може бути врегульована в кінцевому підсумку.

Примітка редактора: Додаткову інформацію див. у статті "Ще немає помилок у коді, але вже зламано – яка історія за найбільшим зломом 2026 року через уразливість конфігурації DVN?".

Хто повинен взяти на себе відповідальність?

Спочатку обговоримо питання відповідальності.

Згідно з деталями, розкритими LayerZero, безпосередня причина інциденту досить зрозуміла. Децентралізована мережа валідаторів (DVN), якою керує LayerZero, покладалася на інфраструктуру RPC нижнього рівня, яка була скомпрометована (див. аналіз засновника SlowMist, Cosine, нижче), і оскільки місткий контракт Kelp DAO прийняв DVN 1/1, зловмиснику потрібно було лише завершити перевірку підробленого повідомлення, щоб виконати атаку.

LayerZero вважає, що Kelp DAO, який використовував конфігурацію DVN 1/1, несе найбільш пряму відповідальність за цей інцидент. У цьому немає сумнівів; такий очевидний "єдиний пункт відмови" є абсурдним.

Однак, як базовий кросс-чейн протокол, LayerZero також повинен нести певну відповідальність. LayerZero дозволяє кожному додатку верхнього рівня самостійно налаштовувати кількість і порогові значення DVN. Хоча DVN 1/1 був власним вибором Kelp DAO, як архітектурного дизайнера, LayerZero мав уникнути таких явно помилкових налаштувань.

Нарешті, існують протоколи кредитування, такі як Aave (у цьому випадку акцент на Aave). Хоча вони також побічно постраждали, об'єктивно кажучи, Aave, прагнучи до розширення, надав надмірну позикову спроможність активам LRT, таким як rsETH, що безпосередньо сприяло його нинішній пасивній ситуації. Крім того, варто згадати, що колишня команда з управління ризиками Aave, BGD Labs (яка зараз відокремилася від Aave), чітко вказала на проблему DVN Kelp DAO в січні минулого року. Хоча Kelp прийняла цю пораду в той час, вона явно не внесла жодних змін... Aave не продовжував контролювати ситуацію та вживати відповідних заходів, що призвело до їхнього власного краху.

Отже, відповідальність дуже чітка, з Kelp DAO як основна відповідальна сторона, LayerZero як друга відповідальна сторона, а також Aave несе певну непряму відповідальність.

Незручна реальність

Реальність завжди складніша, ніж теоретичні очікування. Найкритичніша проблема полягає в тому, що команда Kelp DAO, яка повинна нести основну відповідальність, не може знайти таку велику суму грошей для покриття дефіциту... Незалежно від того, чи буде збиток відраховуватися безпосередньо з усіх власників rsETH, чи це буде зрада власників токенів Layer 2, це, по суті, тупикова ситуація.

Тож, у кого є гроші? Перший - LayerZero, який через цей інцидент зазнав кризової ситуації з репутацією і був тимчасово відключений багатьма установами та протоколами, такими як Bitgo, Tron, Ethena, Curve, ether.fi, спостерігаючи за потенційною втратою великої суми транскордонного TVL; другий - Aave, який стикається з величезним потенційним поганим боргом і спостерігає за відтоком TVL у розмірі мільярдів доларів.

Тому "перекладання відповідальності" між усіма сторонами зараз дуже чітке. Основна відповідальна сторона, Kelp DAO, фактично паралізована і не здатна керувати подальшою компенсацією. Їй потрібно обговорити з двома великими братами, як діяти далі; тим часом друга відповідальна сторона зі здатністю до компенсації та побічно відповідальна сторона, LayerZero та Aave, заявили, що в їхніх протоколах немає вразливостей і дали зрозуміти, що вони не готові так легко брати на себе таку величезну відповідальність. Тому поточний стан справ здається дещо безвихідним.

Але я не вірю, що ця ситуація триватиме довго, оскільки обом протоколам потрібно вирішити проблему якнайшвидше: LayerZero не може відмовитися від своєї карти екосистеми міжланцюгової взаємодії OFT, а Aave не може ігнорувати безперервний відтік коштів.

Ключ до багатосторонньої гри

Цього ранку Aave опублікувала оновлену заяву з цього приводу, і найважливіша інформація в ній така: Aave наголошує, що "rsETH у основній мережі Ethereum добре підтримується"."

Як слід розуміти цю заяву? Почнемо з розробки rsETH.

rsETH - це, по суті, токен сертифіката повторного стейкінгу, забезпечений ліквідністю, який випускає Kelp DAO, причому кожен rsETH має один ETH у системі забезпечення та повторного стейкінгу. Шлях: "ETH - Lido - EigenLayer - Kelp DAO - rsETH".

rsETH у мейннеті – це оригінальний токен з доказом частки, випущений Kelp DAO на Ethereum. Щоб розширитися в екосистемі Layer 2, Kelp DAO використовуватиме міжланцюговий брідж-контракт LayerZero (саме ця система була залучена в цей інцидент) для відображення rsETH мейннета на різних рішеннях Layer 2. За кожен rsETH, викарбуваний на Layer 2, еквівалентна кількість rsETH мейннета буде утримуватися в контракті опіки Kelp DAO, і буде звільнена лише після міжланцюгової передачі назад у мейннет.

Тепер повернемося до самого інциденту. Як згадувалося раніше, причиною крадіжки було що хакер, обдуривши DVN, підробив міжланцюгове повідомлення, внаслідок чого контракт моста "помилково випустив" 116 500 rsETH — зауважте, що це не було створенням нових токенів з нічого, а несанкціонованим випуском оригінальних токенів з доказом ставки з мейннета.

Проблема полягає в наступному: ці токени вже циркулювали на 2-му рівні через відображення, тоді як токени мейннета перебували в замороженому стані. Однак після атаки хакер розмістив їх у протоколах, таких як Aave, позичив більше ліквідних WETH і втік — важливо підкреслити, що розміщений rsETH є справжнім, тому Aave підтримує забезпечення та позики під цей токен.

Тепер повернемося до заяви Aave. Фраза "mainnet rsETH має достатню підтримку в Ethereum" по суті означає:Ці монети всі справжні, Kelp DAO, ви повинні допомогти нам викупити ETH за ці токени (контракт призупинено, викуп наразі неможливий)… Що стосується rsETH, відображеного на Layer 2, який втратив підтримку mainnet, ну, це не моя проблема!"

Очевидно, що саме така позиція Aave. Незважаючи на те, що Aave наголошує на вартості rsETH у мейннет, ігноруючи при цьому вартість rsETH у Layer 2, і незважаючи на те, що Aave має значну позику rsETH у своїх кредитних продуктах Layer 2 (її вартість у реальному часі становить приблизно 359 мільйонів доларів), це може призвести до деяких проблем з боргами. Однак, обираючи менше зло, Aave, ймовірно, оцінив потенційний вплив обох варіантів і дійшов висновку, що збереження свого основного продукту в мейннет відповідає його інтересам.

Проте це лише точка зору Aave. Остаточне вирішення інциденту залежатиме від досягнення угоди з LayerZero та Kelp DAO.

Останній поки що не зробив жодних заяв, але особисто я вважаю, що LayerZero навряд чи прийме цю пропозицію, оскільки жертвування токеном Layer 2, прив'язаним до іншого ланцюжка, безпосередньо загрожуватиме репутації LayerZero на всіх ланцюжках.

Потенційне рішення

Проблема з часом потребуватиме вирішення. Останнім часом різні експерти в соціальних мережах також давали поради Aave, LayerZero та Kelp DAO.

Засновник DefiLlama 0xngmi вивів три можливі шляхи, але також вказав на значні недоліки в усіх трьох. Перший шлях передбачає, що всі власники rsETH колективно понесуть збитки в розмірі 18,5% (частка втрачених токенів від загальної кількості), при цьому Kelp DAO зазнає збитків, а Aave також зіткнеться з дефолтом на головній мережі на суму близько 216 мільйонів доларів; другий шлях полягає в тому, щоб не враховувати вартість усіх прив'язаних до другого рівня токенів rsETH, що дозволить зберегти продукт Aave на головній мережі, але версія другого рівня, ймовірно, зазнає краху, а репутація Kelp DAO буде пошкоджена; третій шлях полягає в тому, щоб повністю відшкодувати власникам токенів rsETH, які були у них до атаки, на основі знімку ефіру, тоді як наступні покупці або отримувачі будуть нести збитки самі, але через значний рух коштів після атаки це практично неможливо реалізувати в реальності.

Засновник OneKey Yishi зазначив: "Найкращий результат зараз – це домовитися з хакером, запропонувати винагороду 10–15%, повернути більшість, і всі задоволені. Якщо переговори проваляться, екосистема LayerZero може покрити більшість збитків, оскільки вона є найбагатшою і має найбільший довгостроковий інтерес, що дозволить зберегти екосистему OFT. Kelp DAO є найбіднішою, тому їм потрібно або компенсувати токени + майбутній дохід, або просто продати весь проект LayerZero або Bitmine.» Зонтик Aave та stkAAVE забезпечують максимальний захист, але депозитарії WETH абсолютно не повинні нести збитки, інакше Morpho, Spark, Fluid, Euler зазнають зміни цін, трек LRT буде заплямований, і вся індустрія DeFi регресує на три роки.

Незалежно від цього, всі сторони, безумовно, продовжуватимуть дебати ще деякий час, оскільки йдеться про мільярди доларів, і ніхто не хоче бути найбільшим невдахою.

Що стосується того, скільки часу потрібно для надання рішення, як згадувалося раніше, обидва гіганти не бажають затягувати занадто довго. LayerZero в даний час перебуває під примусовою паузою з боку основних установ і протоколів, що співпрацюють, і подальше затягування, безсумнівно, призведе до того, що ці партнери переключаться на міжланцюгові шляхи; ситуація з Aave також не є оптимістичною, оскільки коефіцієнти використання декількох грошових ринків вже досягли 100%, залишаючи депозитаріїв у "ув'язненому" стані... Якщо ETH раптом різко впаде, Aave, ймовірно, може зазнати більше дефолтів через неможливість ефективно ліквідувати (що є випадком наразі), що в кінцевому підсумку призведе до ефекту сніжного кома погіршення проблем — досягнувши цього етапу, основа індустрії може зазнати удару, чого, очевидно, ніхто не захоче бачити.

Посилання на оригінальну статтю