DeFi se encuentra en la situación de dilema del prisionero más peligrosa de la historia

Autor: Gu Yu, ChainCatcher

Después de más de 40 horas de haber sido robado, la reacción en cadena provocada por Kelp DAO sigue fermentando, no solo involucrando a proyectos conocidos como Aave, LayerZero, Arbitrum, sino que incluso ha llegado a que algunas narrativas populares sean sometidas a juicio de muerte.

Un conocido KOL, Feng Wu Xiang, expresó en la plataforma X que solo ETH es seguro ahora, ARB también ha autorizado el congelamiento y transferencia de los activos de los clientes. Ningún L2 es realmente un L2, debería ser así. L2 surgió en Arbitrum, y también murió en Arbitrum.

Otro conocido KOL, Lan Hu, afirmó que la mayor pérdida en este incidente de Kelp no fue para Aave ni para Kelp, sino para LayerZero, simplemente porque fue demasiado miope y no vio la esencia completa del evento. La naturaleza de este incidente no es que se haya falsificado un L2 (que sería lo de menos), sino que se ha falsificado el puente entre cadenas.

Cada vez más opiniones acaloradas aparecen en la esfera pública, las partes involucradas discuten y se culpan mutuamente, lo que hace que el incidente del robo en Kelp DAO se convierta en una ventana típica para observar la división de responsabilidades en accidentes de seguridad, el conflicto entre pragmatismo y fundamentalismo técnico.

一, ¿Se ha falsificado el L0? ¿El puente entre cadenas se convirtió en el mayor perdedor?

El punto clave del incidente fue el informe detallado de la brecha de seguridad publicado ayer por LayerZero, donde se estima preliminarmente que el atacante es el grupo Lazarus, con antecedentes en Corea del Norte. El ataque se llevó a cabo mediante la inyección de toxinas en su red de validación descentralizada (DVN) dependiente de la infraestructura RPC de nivel inferior, controlando algunos nodos RPC y combinándolo con ataques DDoS, induciendo al sistema a cambiar a nodos maliciosos, falsificando así transacciones entre cadenas.

“Utilizar nodos comprometidos para realizar ataques de inyección en la infraestructura RPC, combinándolo con DDoS en RPC no afectados para forzar fallos, es una estrategia muy compleja. Es esencialmente una guerra de infraestructura.”, evaluó Samuel Tse, director de inversión y cooperación en Animoca Brands.

Al final del informe, LayerZero afirmó que el protocolo funcionó completamente según lo previsto durante todo el evento. No se encontraron vulnerabilidades en el sistema. La característica central de la arquitectura de LayerZero es la seguridad modular, y en este caso, logró aislar el ataque a una sola aplicación, sin que el sistema completo sufriera contagio, ni otros OFT u OApp se vieron afectados.

Esta completa desvinculación de su responsabilidad se convirtió en la chispa que provocó una gran reacción pública, con muchos expertos en la industria expresando su insatisfacción con el desempeño de LayerZero en este incidente.

“L0 se limpia a sí mismo, toda la culpa la echa a la configuración errónea de KelpDAO, y ellos insisten en que no tuvieron ningún problema. Es increíble. Pregunto, ¿por qué se permite que exista una configuración 1/1? ¿Por qué la lista interna de RPC puede ser obtenida por los atacantes? ¿Por qué la lógica de failover confía en RPC contaminados tras un DDoS, sin detener la validación o hacer algo al respecto?” cuestionó CM, investigador destacado en la industria.

“Esta actitud de evasión deliberada me incomoda mucho. En la declaración claramente dice ‘el funcionamiento del protocolo fue completamente conforme a lo esperado’. Se describe el ataque como la penetración y toxificación de nodos RPC, pero no fue así; su infraestructura fue invadida y dañada. Dado que la declaración no explica cómo ocurrió la intrusión, no tengo prisa en volver a habilitar el puente.”, afirmó banteg, desarrollador de DeFi reconocido.

La oficina oficial de Kelp DAO también emitió un comunicado, indicando que la configuración del validador único (1/1) que causó el ataque no fue una opción ignorando las recomendaciones, sino que era la configuración predeterminada en las guías oficiales de LayerZero, y que el validador explotado (DVN) es infraestructura propia de LayerZero.

Según análisis de Dune, en los 2665 contratos OApp basados en LayerZero, el 47% utiliza la configuración DVN 1/1, es decir, mecanismo de validación único, lo que amplía enormemente el riesgo para la industria.

Más alarmante que los problemas en sí, es que las partes involucradas no admiten errores ni evaden responsabilidades. LayerZero, como principal actor en comunicación entre cadenas y en la narrativa Layer0, tiene cientos de proyectos de criptomonedas usando su infraestructura para puente de tokens y activos entre cadenas. Si continúa con una actitud arrogante, afectará aún más la confianza en la industria.

La opinión general es que, aunque LayerZero no fue hackeado directamente, su reputación sufrió el mayor daño — debe pagar el precio por “permitir configuraciones débiles”, de lo contrario, la narrativa de las cadenas cruzadas colapsará.

Es decir, LayerZero no solo necesita proponer mejoras técnicas claras, sino también asumir más responsabilidades en los planes de compensación de activos.

二, ¿El Layer2 está muerto? La congelación extraordinaria de Arbitrum

La discusión sobre Layer2 surge a raíz de la acción de congelamiento de Arbitrum. Hoy al mediodía, el comité de seguridad de Arbitrum publicó un anuncio diciendo que tomó medidas de emergencia para rescatar los 30,766 ETH almacenados en la dirección de Arbitrum One, con un valor actual de 71 millones de dólares.

Además, indicaron que tras una exhaustiva investigación técnica y deliberaciones, el comité de seguridad decidió y ejecutó un plan técnico que, sin afectar el estado de otras cadenas o a los usuarios de Arbitrum, transfirió los fondos a un lugar seguro. La dirección original que poseía los fondos ya no puede acceder a ellos, solo la administración de Arbitrum puede tomar acciones adicionales para mover esos fondos, en coordinación con las partes involucradas.

Según expertos, el comité de seguridad de Arbitrum utilizó un tipo de transacción de control de estado privilegiada (que forma parte de ArbOS, pero casi nunca se ha usado), permitiendo que la clave privada del atacante aún pudiera firmar transacciones, pero los ETH en esa dirección fueron transferidos por la propia cadena.

Este tipo de transacción evita completamente que la clave privada del atacante intervenga, solo la cadena (a través del secuenciador / actualización de ArbOS, controlada por el comité de seguridad de Arbitrum) puede inyectar esas transferencias.

Se sabe que el comité de seguridad de Arbitrum está compuesto por 12 personas elegidas por DAO, y cualquier decisión requiere la aprobación de al menos 9 de ellas.

Esto ha causado un gran revuelo. Hasta ahora, en la percepción pública, Arbitrum, como un Layer2 representativo, no tenía la capacidad ni los permisos para gestionar los ETH de los usuarios, lo cual va en contra del espíritu de descentralización de la cadena.

En incidentes anteriores, los hackers que robaban USDT, USDC, podían ser rápidamente congelados por Tether o Circle, reduciendo pérdidas para los usuarios. Pero el ETH, como activo nativo de la cadena, no había sido congelado ni transferido por la propia cadena, lo que superó las expectativas de la mayoría de los usuarios.

Muchos apoyan la postura de Arbitrum, diciendo que “todas las empresas, bancos y entidades financieras formales eventualmente adoptarán arquitecturas de segundo nivel. Operar como una entidad centralizada en momentos críticos no es un defecto, sino una ventaja.” Pero para los tecnófilos, no es así.

“Sin clave privada, sin autorización, transferencias directas.” Desde varias perspectivas, la acción de Arbitrum redefine el nivel de descentralización de Layer2, generando una sensación de inseguridad en Layer2.

Lan Hu afirmó claramente que este incidente tocó directamente la línea roja de la ideología central de DeFi: “Not Your Keys, Not Your Coins”. Este evento vuelve a la clásica problemática de las criptomonedas: seguridad pragmática versus seguridad completamente descentralizada.

Conclusión

Cuando LayerZero dice que “el protocolo funcionó completamente según lo previsto”, mantiene la corrección técnica, pero pierde en opinión pública y confianza; cuando Arbitrum usa transacciones privilegiadas para transferir 71 millones de dólares en ETH, salva los fondos de los usuarios, pero daña gravemente la narrativa de descentralización de Layer2.

El escándalo del robo en Kelp pone en juicio simultáneamente a las dos narrativas más populares: ¿Son los puentes entre cadenas infraestructura o amplificadores de riesgo? ¿Layer2 es una extensión confiable de Ethereum o un banco de segundo nivel con apariencia de descentralización?

Por un lado, LayerZero, con su mecanismo de nodo único, fue vulnerado; por otro, Arbitrum, usando un mecanismo de votación centralizado y especial, ayudó a LayerZero y a Kelp DAO a recuperar pérdidas. Esto forma un ciclo irónico: un protocolo que se autodenomina descentralizado, colapsa por su “punto único de vulnerabilidad”, y termina dependiendo de otro protocolo con “características centralizadas” para cerrar el ciclo.

Esto obliga a toda la industria a enfrentar una pregunta nunca respondida: cuando el ideal de descentralización choca con los costos de seguridad en la realidad, ¿qué lado estamos dispuestos a sacrificar?

La discusión sobre la narrativa grandilocuente es un foco de opinión pública, pero la compensación a los usuarios es otra realidad. Aunque Arbitrum logró recuperar más de 70 millones de dólares, Aave aún tiene cerca de 200 millones en deudas incobrables, ¿cómo se protegerá y garantizará realmente los intereses de los usuarios?

En la mayoría de los incidentes de hacking, pérdidas millonarias representan un desastre total para los protocolos, y las reclamaciones de los usuarios suelen terminar sin resultado. Pero en este caso, con proyectos como Aave y LayerZero en juego, la gestión de las deudas es especialmente observada.

Aave propuso dos posibles planes de recuperación: uno, socializar las pérdidas entre todos los poseedores de rsETH (reparto en toda la cadena), reduciendo el valor de todos los rsETH (principalmente en la red principal y L2 en aproximadamente un 15%); otro, que solo los poseedores de rsETH en L2 asuman las pérdidas, manteniendo el valor original en la red principal.

Pero ni Kelp DAO ni LayerZero han discutido aún su papel en el plan de compensación. La actitud de LayerZero en el informe, intentando eludir responsabilidades, indica que consideran que sin responsabilidad, no hay obligación de compensar.

Sin embargo, un protocolo valorado en miles de millones de dólares, dependiente de infraestructura subyacente que es la base de cientos de proyectos, que ante pérdidas enormes causadas por la configuración predeterminada del DVN opta por “eximirse técnicamente”, es una gran ironía a la definición misma de “infraestructura básica”.

Es un típico dilema del prisionero: las partes en crisis intentan minimizar sus pérdidas mediante “reparto de beneficios”, en lugar de asumir responsabilidades conjuntas para reparar la confianza del sector.

Desde la perspectiva del impacto negativo en la industria, este será quizás el dilema de prisionero más peligroso en la historia de DeFi.