Penulis: Gu Yu, ChainCatcher
Setelah lebih dari 40 jam dicuri, reaksi berantai yang dipicu oleh Kelp DAO masih terus berlanjut, tidak hanya melibatkan semakin banyak proyek terkenal seperti Aave, LayerZero, Arbitrum, tetapi bahkan mencapai tingkat di mana beberapa narasi populer dijatuhi hukuman mati.
KOL terkenal Feng Wuxiang menyatakan di platform X bahwa hanya ETH yang aman sekarang, ARB juga telah mengotorisasi pembekuan dan transfer aset pengguna. Tidak ada L2 yang benar-benar L2. L2 bangkit karena Arbitrum, dan juga mati karena Arbitrum.
KOL terkenal lainnya, Lan Hu, mengatakan bahwa kerugian terbesar dalam insiden kelp ini bukan Aave, bukan Kelp, melainkan LayerZero, hanya saja terlalu picik untuk melihat esensi sebenarnya dari peristiwa ini. Esensi peristiwa ini bukan membuktikan L2 palsu (L2 palsu tidak masalah), tetapi membuktikan bahwa jembatan lintas rantai (cross-chain bridge) itu palsu.
Semakin banyak pandangan keras muncul di panggung opini, pihak-pihak yang terlibat saling menyalahkan dan bersitegang, menjadikan peristiwa pencurian Kelp DAO sebagai jendela tipikal untuk mengamati pembagian tanggung jawab insiden keamanan, konflik antara pragmatisme dan fundamentalisme teknis.
一、L0 Terbukti Palsu? Jembatan Lintas Rantai Menjadi Pihak yang Paling Dirugikan
Titik kunci peristiwa adalah laporan rinci serangan peretas yang dirilis LayerZero kemarin, yang awalnya menilai pelaku serangan sebagai Lazarus Group yang berlatar belakang Korea Utara. Serangan dilakukan dengan meracuni infrastruktur RPC hilir yang diandalkan oleh jaringan verifikasi terdesentralisasinya (DVN), pelaku serangan mengendalikan sebagian node RPC dan dikombinasikan dengan serangan DDoS, menginduksi sistem untuk beralih ke node jahat, sehingga memalsukan transaksi lintas rantai.
"Memanfaatkan node yang disusupi untuk melakukan serangan peracunan pada infrastruktur RPC, dikombinasikan dengan meluncurkan serangan DDoS terhadap RPC yang tidak terpengaruh untuk memaksa failover, metode ini sangat kompleks. Pada dasarnya ini adalah perang infrastruktur." kata Samuel Tse, Kepala Investasi dan Kemitraan Animoca Brands.
Di akhir laporan, LayerZero menyatakan bahwa protokol berjalan sepenuhnya sesuai harapan selama seluruh peristiwa. Tidak ada kerentanan yang ditemukan dalam protokol. Fitur inti dari arsitektur LayerZero adalah keamanan modular, dan dalam kasus ini, itu mencapai tujuan yang diharapkan dengan sempurna, mengisolasi seluruh serangan ke dalam aplikasi tunggal — seluruh sistem memiliki risiko nol penularan, OFT atau OApp lainnya juga tidak terpengaruh.
Pelepasan tanggung jawab diri sepenuhnya ini menjadi pemicu反弹 besar-besaran opini, banyak tokoh industri terkenal tidak puas dengan kinerja LayerZero dalam peristiwa ini.
"L0 membersihkan diri dengan rapi, seluruh artikel menyalahkan KelpDAO karena kesalahan konfigurasi, sendiri sama sekali tidak ada masalah. Luar biasa. Tolong, mengapa mengizinkan konfigurasi 1/1 ada? Mengapa daftar RPC internal bisa didapatkan oleh penyerang? Mengapa logika failover setelah DDoS langsung mempercayai RPC yang tercemar, dan tidak menghentikan verifikasi, atau setidaknya melakukan sedikit sesuatu?" tanya peneliti industri terkenal CM.
"Sikap menghindar yang disengaja ini membuat saya tidak nyaman. Pernyataan jelas menulis 'protokol berjalan sepenuhnya sesuai harapan'. Serangan digambarkan sebagai node RPC diretas dan RPC diracuni. Tapi peracunan RPC tidak seperti itu, infrastruktur mereka sendiri disusupi dan dirusak. Mengingat pernyataan tidak menjelaskan bagaimana penyusupan terjadi, saya tidak akan terburu-buru mengaktifkan kembali bridging." kata pengembang DeFi terkenal banteg.
Kelp DAO resmi juga bersuara, menyatakan bahwa konfigurasi validator tunggal (1/1) yang menyebabkan serangan ini bukan pilihan mereka yang mengabaikan saran, tetapi pengaturan default dalam panduan resmi LayerZero, dan jaringan validator (DVN) yang dimanfaatkan penyerang adalah infrastruktur milik LayerZero sendiri.
Menurut analisis Dune, dari 2665 kontrak OApp berbasis LayerZero, 47% menggunakan konfigurasi DVN 1/1, yaitu mekanisme verifikasi tunggal, yang memperbesar risiko industri secara drastis.
Yang lebih menakutkan daripada munculnya masalah adalah, pihak yang terlibat tidak mengakui kesalahan, menghindari kesalahan. LayerZero sebagai pemain utama dalam komunikasi lintas rantai dan narasi Layer0, ratusan proyek kripto menggunakan infrastruktur lintas rantainya untuk menjembatani token dan aset di berbagai rantai, jika terus mempertahankan sikap arogan, pasti akan semakin mempengaruhi kepercayaan industri terhadapnya.
Opini umum percaya, meskipun LayerZero tidak langsung diretas, tetapi reputasinya yang paling dirugikan — ia harus membayar harga untuk "mengizinkan konfigurasi lemah", jika tidak narasi lintas rantai akan menuju kebangkrutan.
Artinya, LayerZero tidak hanya perlu mengusulkan langkah-langkah perbaikan teknis yang jelas, tetapi juga perlu mengambil lebih banyak tanggung jawab dalam skema kompensasi aset.
二、Layer2 Mati? Pembekuan Luar Biasa oleh Arbitrum
Diskusi tentang Layer2 berasal dari tindakan pembekuan Arbitrum. Siang hari ini, Komite Keamanan Arbitrum mengumumkan bahwa mereka telah mengambil tindakan darurat untuk menyelamatkan 30,766 ETH yang disimpan peretas di alamat Arbitrum One, saat ini bernilai 71 juta dolar AS.
Pihak Arbitrum juga menyatakan bahwa setelah investigasi dan pertimbangan teknis yang luas, komite keamanan menentukan dan mengeksekusi solusi teknis, untuk memindahkan dana ke lokasi yang aman tanpa mempengaruhi status rantai lain atau pengguna Arbitrum. Alamat yang awalnya memegang dana tidak dapat lagi mengakses dana ini, hanya badan pengatur Arbitrum yang dapat mengambil tindakan lebih lanjut untuk mentransfer dana ini, tindakan tersebut akan dikoordinasikan dengan pihak-pihak terkait.
Menurut interpretasi pelaku industri, Komite Keamanan Arbitrum menggunakan jenis transaksi penimpaan status istimewa (ini adalah bagian dari ArbOS, tetapi基本上 tidak pernah digunakan), membuat kunci pribadi penyerang masih dapat menandatangani transaksi, tetapi ETH alamat tersebut ditransfer oleh rantai itu sendiri.
Jenis transaksi khusus ini sepenuhnya melewati kunci pribadi penyerang, hanya rantai itu sendiri (melalui jalur peningkatan sequencer / ArbOS, dikendalikan oleh Komite Keamanan Arbitrum) yang dapat menyuntikkannya.
Diketahui, Komite Keamanan Arbitrum terdiri dari 12 individu, mereka dipilih oleh Arbitrum DAO, keputusan apa pun memerlukan persetujuan 9/12 dari mereka.
Sekali air tenang menghanyutkan jembatan. Sebelumnya, di mata luar, Arbitrum sebagai Layer2 perwakilan tidak memiliki kemampuan dan wewenang untuk menangani aset ETH pengguna, bagaimanapun ini bertentangan dengan semangat desentralisasi blockchain.
Dalam peristiwa peretas sebelumnya, USDT, USDC yang dicuri peretas sering dapat dibekukan oleh Tether, Circle pada saat itu juga, untuk mengurangi kerugian pengguna. ETH sebagai aset asli rantai, dalam sejarah belum pernah ada preseden dibekukan dan ditransfer oleh rantai itu sendiri, juga melampaui jangkauan ekspektasi绝大多数 pengguna.
Banyak pandangan mendukung tindakan Arbitrum, misalnya "semua perusahaan, bank, dan lembaga keuangan formal pada akhirnya akan mengadopsi arsitektur tingkat dua. Beroperasi seperti entitas terpusat pada saat-saat kritis bukanlah cacat, melainkan keunggulan." Tapi bagi lebih banyak geek teknis tidak demikian.
"Tanpa kunci pribadi, tanpa otorisasi, transfer langsung." Dalam banyak pandangan, operasi Arbitrum kali ini dapat dikatakan mendefinisikan ulang tingkat desentralisasi Layer2, yang membuat mereka kurang aman di Layer2.
Lan Hu直言, peristiwa ini telah langsung menyentuh garis merah ideologi inti DeFi: "Not Your keys, not your coins". Peristiwa ini kembali ke masalah klasik kripto: keamanan pragmatisme vs keamanan desentralisasi penuh.
Kesimpulan
Ketika LayerZero mengatakan "protokol berjalan sepenuhnya sesuai harapan", itu mempertahankan kebenaran teknis, tetapi kalah dalam opini dan kepercayaan; ketika Arbitrum menggunakan transaksi istimewa untuk mentransfer 71 juta dolar AS ETH, itu menyelamatkan dana pengguna, tetapi menghancurkan narasi desentralisasi Layer2.
Gelombang pencurian Kelp mendorong dua narasi paling panas ke meja hijau pada saat yang sama: apakah jembatan lintas rantai adalah infrastruktur atau penguat risiko? Apakah Layer2 benar-benar ekspansi andal Ethereum, atau bank tingkat dua yang berkedok desentralisasi?
LayerZero diretas karena mekanisme node verifikasi tunggal, Arbitrum menggunakan mekanisme voting khusus yang terpusat untuk memulihkan kerugian LayerZero dan Kelp DAO. Ini membentuk loop yang sangat ironis: sebuah protokol yang mengklaim desentralisasi, runtuh karena "kerapuhan titik tunggal"; akhirnya harus mengandalkan "hak istimewa terpusat" dari protokol lain untuk menyelesaikannya.
Itu memaksa seluruh industri untuk menghadapi pertanyaan yang belum pernah dijawab dengan jelas: ketika ideal desentralisasi bertabrakan dengan biaya keamanan nyata, yang mana yang sebenarnya kita rela korbankan?
Diskusi narasi besar adalah fokus opini, skema kompensasi pengguna adalah fokus opini nyata lainnya. Meskipun Arbitrum berhasil merebut kembali dana lebih dari 70 juta dolar AS melalui sarana teknis, Aave masih memiliki hampir 2 miliar dolar AS pinjaman macet, bagaimana kepentingan pengguna harus dilindungi dan dijamin?
Dalam绝大多数 insiden peretas, kerugian tingkat puluhan juta dolar AS bagi protokol dapat disebut bencana, pengejaran kompensasi pengguna biasanya tidak berhasil. Tetapi peristiwa ini melibatkan proyek bintang terkemuka seperti Aave, Layerzero, skema penanganan pinjaman macetnya sangat diperhatikan.
Aave hari ini mengusulkan dua skema penanganan pinjaman macet yang mungkin,第一种 adalah kerugian dibagikan secara sosial di antara semua pemegang rsETH (dibagi seluruh rantai), Kelp DAO melakukan pengurangan nilai terpadu untuk semua rsETH (mainnet + L2) (sekitar 15% decoupling); 第二种 adalah hanya membuat pemegang rsETH di L2 menanggung semua kerugian, rsETH mainnet mempertahankan nilai asli.
Namun, Kelp DAO dan LayerZero resmi hingga kini belum membicarakan peran mereka dalam skema kompensasi. Dari sikap LayerZero dalam laporan yang berusaha melepaskan tanggung jawab, tidak sulit untuk melihat bahwa proyek ini menganggap tidak ada tanggung jawab maka tidak ada kewajiban kompensasi.
Namun, sebuah protokol dengan valuasi puluhan miliar dolar AS, diandalkan oleh ratusan proyek sebagai ketergantungan底层, memilih "pengecualian tanggung jawab teknis" ketika menghadapi kerugian besar yang disebabkan oleh konfigurasi default DVN, ini sendiri adalah sindiran besar terhadap definisi "infrastruktur底层".
Ini adalah dilema tahanan tipikal, semua pihak dalam krisis berusaha mencapai minimalisasi kerugian自身 melalui "pemotongan kepentingan",而不是 melalui tanggung jawab bersama untuk memperbaiki defisit kepercayaan industri.
Dari dampak negatif peristiwa ini terhadap berbagai pihak industri, bagi bidang DeFi, ini akan menjadi dilema tahanan paling berbahaya dalam sejarah.
