DeFi enfrenta a crise de dilema do prisioneiro mais perigosa da história

Após mais de 40 horas de roubo, a reação em cadeia desencadeada pelo Kelp DAO ainda continua a fermentar, não apenas envolvendo cada vez mais projetos conhecidos como Aave, LayerZero, Arbitrum, mas chegando até a níveis em que algumas narrativas populares enfrentam um julgamento de morte.

Um conhecido KOL, Feng Wuxiang, afirmou na plataforma X que só o ETH é seguro agora, e que a ARB também autorizou o congelamento e transferência de ativos dos clientes. Nenhum L2 é realmente um L2, deveria ser assim. O L2 nasceu com Arbitrum, e também morreu com Arbitrum.

Outro conhecido KOL, Lan Hu, disse que a maior perda neste incidente do Kelp não foi para Aave nem para Kelp, mas para LayerZero, que foi demasiado curto de visão e não conseguiu enxergar a essência do evento. A essência do incidente não é a falsificação do L2 (que já é ruim por si só), mas a falsificação das pontes entre blockchains.

Cada vez mais opiniões acaloradas surgem no debate público, com as partes envolvidas defendendo suas versões e se culpando mutuamente, tornando o roubo do Kelp DAO um exemplo clássico de uma janela de observação sobre responsabilidade por falhas de segurança, conflito entre pragmatismo e fundamentalismo técnico.

一、L0被证伪？跨链桥成最大输家

O ponto-chave do evento foi o relatório detalhado de ataque divulgado ontem pela LayerZero, que inicialmente suspeita que o atacante seja o grupo Lazarus, com base na Coreia do Norte. O ataque foi realizado por meio de envenenamento da rede de validação descentralizada (DVN) dependente da infraestrutura RPC de terceiros, controlando alguns nós RPC e combinando com ataques DDoS, induzindo o sistema a trocar para nós maliciosos, falsificando assim transações entre blockchains.

“Utilizar nós comprometidos para envenenar a infraestrutura RPC, combinando com ataques DDoS a RPCs não afetados para forçar uma mudança de falha, é uma tática bastante complexa. Isso é essencialmente uma guerra de infraestrutura.” avaliou Samuel Tse, chefe de investimentos e parcerias da Animoca Brands.

No final do relatório, a LayerZero afirmou que o protocolo operou exatamente como esperado durante todo o incidente. Nenhuma vulnerabilidade foi encontrada na sua arquitetura. A característica central do LayerZero é a segurança modular, e neste caso, ela funcionou perfeitamente, isolando o ataque a uma única aplicação — o sistema como um todo não sofreu contaminação, e outros OFT ou OApp também não foram afetados.

Essa completa negação de responsabilidade por parte da LayerZero foi o catalisador para uma forte reação pública, com muitos profissionais renomados do setor insatisfeitos com a atuação da LayerZero no incidente.

“L0 se limpou completamente, jogou toda a culpa na configuração incorreta do KelpDAO, e ela mesma não teve nenhum problema. Inacreditável. Por que permitir uma configuração 1/1? Por que a lista de RPC internos pode ser acessada pelo atacante? Por que a lógica de failover confia na RPC contaminada após o DDoS, sem parar a validação ou fazer algo ao menos mínimo?” questionou CM, um pesquisador de setor conhecido.

“Essa atitude de evasão deliberada me incomoda bastante. A declaração claramente diz que ‘o protocolo operou totalmente conforme o esperado’. O ataque foi descrito como a invasão e envenenamento dos nós RPC. Mas o envenenamento por RPC não foi assim; a infraestrutura deles foi invadida e destruída. Como a declaração não explica como a invasão ocorreu, não vou reativar a ponte imediatamente,” afirmou banteg, um desenvolvedor de DeFi renomado.

A própria equipe do Kelp DAO também se pronunciou, afirmando que a configuração do validador único (1/1) que levou ao ataque não foi uma escolha negligente, mas sim a configuração padrão nas diretrizes oficiais do LayerZero, e que o validador explorado pelo atacante (DVN) é uma infraestrutura própria do LayerZero.

De acordo com análises do Dune, entre os 2665 contratos de OApp baseados no LayerZero, 47% usam a configuração 1/1 DVN, ou seja, mecanismo de validação única, o que aumenta exponencialmente o risco do setor.

Mais assustador do que o problema em si é o fato de as partes envolvidas não admitirem o erro ou evitarem a responsabilidade. Como principal protagonista na narrativa de comunicação entre blockchains e Layer0, centenas de projetos de criptomoedas usam sua infraestrutura para conectar diferentes tokens e ativos. Se continuarem com essa postura arrogante, a confiança do setor na LayerZero pode ser ainda mais prejudicada.

A opinião geral é que, embora a LayerZero não tenha sido hackeada diretamente, sua reputação foi severamente prejudicada — ela precisa pagar o preço por “permitir configurações fracas”, caso contrário, a narrativa de interoperabilidade entre blockchains pode desmoronar.

Ou seja, a LayerZero não só precisa propor melhorias técnicas claras, como também deve assumir mais responsabilidades na compensação pelos ativos afetados.

二、Layer2 已死？Arbitrum 的超常规冻结

A discussão sobre Layer2 veio da ação de congelamento de Arbitrum. Hoje ao meio-dia, o Conselho de Segurança do Arbitrum publicou um comunicado informando que tomou medidas emergenciais para resgatar 30.766 ETH armazenados na carteira do hacker no endereço Arbitrum One, atualmente avaliado em 71 milhões de dólares.

A equipe do Arbitrum também afirmou que, após extensas investigações técnicas e deliberações, o conselho de segurança decidiu e executou uma solução técnica que, sem afetar o estado de outras blockchains ou dos usuários do Arbitrum, transferiu os fundos para um local seguro. Os endereços originais que possuíam os fundos não podem mais acessá-los, e apenas a administração do Arbitrum pode tomar ações adicionais para mover esses fundos, em coordenação com as partes envolvidas.

Segundo analistas do setor, o Conselho de Segurança do Arbitrum utilizou um tipo de transação de cobertura de estado com privilégios especiais (que faz parte do ArbOS, mas quase nunca é usada), permitindo que a chave privada do atacante assinasse transações, enquanto o ETH na carteira foi transferido pela própria cadeia.

Esse tipo de transação especial contorna completamente a chave privada do atacante, sendo possível apenas pela própria cadeia (via sequencer / atualização do ArbOS, controlada pelo Conselho de Segurança do Arbitrum).

Sabe-se que o Conselho de Segurança do Arbitrum é composto por 12 membros eleitos pelo DAO do Arbitrum, e qualquer decisão requer a aprovação de pelo menos 9 desses membros.

Um grande impacto. Antes, parecia que o Arbitrum, como um representante de Layer2, não tinha capacidade ou permissão para gerenciar os ETH dos usuários, o que contraria o espírito de descentralização do blockchain.

Em eventos anteriores de ataque, tokens como USDT e USDC roubados geralmente podem ser congelados imediatamente por Tether e Circle, minimizando perdas para os usuários. Como ETH é um ativo nativo da cadeia, até hoje não houve precedentes de sua própria cadeia congelar ou transferir esses fundos, o que ultrapassa as expectativas da maioria dos usuários.

Muitos apoiam a abordagem do Arbitrum, como “empresas, bancos e instituições financeiras adotam arquiteturas de segunda camada. Operar como uma entidade centralizada em momentos críticos não é uma falha, mas uma vantagem.” Mas para muitos entusiastas de tecnologia, não é bem assim.

“Sem necessidade de chave privada, sem autorização, transferências diretas.” Para muitos, essa ação do Arbitrum redefine o grau de descentralização do Layer2, gerando uma sensação de insegurança na sua segurança.

Lan Hu afirmou abertamente que este incidente tocou diretamente na linha vermelha da ideologia central do DeFi: “Not Your Keys, Not Your Coins”. Este evento traz de volta o clássico dilema da criptografia: segurança pragmática versus segurança totalmente descentralizada.

结语

Quando a LayerZero afirma que “o protocolo operou totalmente conforme o esperado”, ela preservou a correção técnica, mas perdeu a confiança e a reputação; quando o Arbitrum usa transações privilegiadas para transferir ETH de 71 milhões de dólares, ele salvou os fundos dos usuários, mas prejudicou a narrativa de descentralização do Layer2.

A controvérsia do roubo do Kelp colocou as duas narrativas mais populares sob julgamento: as pontes entre blockchains são infraestrutura ou amplificadores de risco? O Layer2 é uma extensão confiável do Ethereum ou um banco de segunda camada disfarçado de descentralizado?

Devido à vulnerabilidade de um único nó de validação, a LayerZero foi comprometida, e o Arbitrum, usando um mecanismo de votação centralizado, tentou recuperar perdas para a LayerZero e o Kelp DAO. Isso forma um ciclo extremamente irônico: um protocolo que se autodenomina descentralizado, por sua “fraqueza de ponto único”, desmorona; e, no final, precisa depender de outro protocolo com “características centralizadas” para encerrar.

Isso força toda a indústria a confrontar uma questão nunca respondida: quando o ideal de descentralização colide com o custo de segurança na prática, qual lado estamos dispostos a sacrificar?

A discussão sobre a grande narrativa é um foco de opinião pública, enquanto a compensação aos usuários é outro foco de realidade. Mesmo que a Arbitrum recupere mais de 70 milhões de dólares por meios técnicos, a Aave ainda possui quase 200 milhões de dólares em inadimplência, e como garantir que os interesses dos usuários sejam devidamente protegidos?

Na maioria dos ataques, perdas de dezenas de milhões de dólares representam um desastre de proporções catastróficas para o protocolo, e as ações de recuperação geralmente não resultam em compensações. Mas neste caso, envolvendo projetos de destaque como Aave e LayerZero, a gestão das inadimplências é altamente observada.

Hoje, a Aave propôs duas possíveis soluções para a inadimplência: uma, compartilhar as perdas entre todos os detentores de rsETH (sociedade de risco na cadeia), com uma redução de valor de aproximadamente 15% no rsETH principal; ou, duas, fazer com que apenas os detentores de rsETH na Layer2 assumam toda a perda, mantendo o valor original do rsETH na cadeia principal.

No entanto, até agora, nem a Kelp DAO nem a LayerZero discutiram seu papel na compensação. A postura da LayerZero no relatório, de tentar isentar-se de responsabilidade, indica que o projeto acredita que, sem responsabilidade, não há obrigação de compensar.

Por outro lado, um protocolo avaliado em dezenas de bilhões de dólares, considerado uma dependência fundamental por centenas de projetos, ao enfrentar perdas massivas devido à configuração padrão da DVN, opta por uma “exclusão técnica”, o que é uma grande ironia na definição de “infraestrutura básica”.

Trata-se de um típico dilema do prisioneiro: as partes em crise tentam minimizar suas perdas por meio de “partilha de interesses”, ao invés de assumir responsabilidades conjuntas para reparar a confiança do setor.

Diante do impacto negativo do incidente, para o setor de DeFi, essa será uma das maiores crises de dilema do prisioneiro já enfrentadas.