作者:谷昱,ChainCatcher
在被盗超过 40 小时后,Kelp DAO 引发的连锁反应仍然在持续发酵,不仅 Aave、LayerZero、Arbitrum 等越来越多知名项目牵扯进来,甚至达到一些热门叙事遭到死亡审判的程度。
知名 KOL 风无向 在 X 平台表示,只有 ETH 是安全的了,ARB 也授权冻结转移了客户的资产。没有一个 L2 是真 L2 了应该。L2 兴于 Arbitrum,也亡于 Arbitrum。
另一名知名 KOL 蓝狐则表示,这次kelp事故损失最大不是 Aave,也不是 Kelp,而是 Layerzero,只是它太短视了,看不到整个事件的本质到底是什么。这个事件的本质不是证伪了 L2(假 L2 就算了),而是证伪了跨链桥。
越来越多激烈的观点出现在舆论场上,事件当事方各执一词、互相扯皮,这使得 Kelp DAO 被盗事件成为一起观察安全事故责任划分、实用主义与技术原教旨主义冲突的典型窗口。
一、L0被证伪?跨链桥成最大输家
事件的关键节点是 LayerZero 昨日发布的黑客攻击详细报告,初步判断攻击者为朝鲜背景的 Lazarus Group。攻击通过投毒其去中心化验证网络(DVN)依赖的下游 RPC 基础设施实现,攻击者控制部分 RPC 节点并配合 DDoS 攻击,诱导系统切换至恶意节点,从而伪造跨链交易。
“利用被入侵节点对 RPC 基础设施进行投毒攻击,并结合对未受影响的 RPC 发起 DDoS 攻击以强制故障转移,这种手段十分复杂。这本质上是一种基础设施战。”Animoca Brands 投资与合作主管 Samuel Tse 评价称。
在报告的最后,LayerZero 表示协议在整个事件过程中完全按照预期运行。协议中未发现任何漏洞。LayerZero 架构的核心特性是模块化安全,而在这个案例中,它完美地实现了预期目标,将整个攻击隔离到单个应用程序内——整个系统零传染风险,其他 OFT 或 OApp 也未受到影响。
这种对自身责任的完全摘除,成为了引发巨大舆论反弹的导火索,诸多知名行业人士对 LayerZero 在该事件中的表现不满。
“L0 把自己摘的干净,整篇文章把锅全都甩给 KelpDAO 配置失误,自己硬是一点问题没有。绝了。请问,为什么允许 1/1 配置存在?为什么内部 RPC 列表能被攻击者拿到?为什么 failover 逻辑在 DDoS 后直接信任被污染的 RPC,而没有直接停止验证,或者哪怕做一点点事情?”知名行业研究员 CM 反问称。
“这种刻意回避的态度让我很不舒服。声明里明明写着“协议运行完全符合预期”。攻击被描述为RPC节点被攻破和RPC投毒。但RPC投毒并非如此,他们自身的基础设施遭到了入侵和破坏。鉴于声明没有说明入侵是如何发生的,我不会急于重新启用桥接。” 知名 DeFi 开发者 banteg 表示。
Kelp DAO 官方也随之发声,表示导致此次攻击的单验证器(1/1)配置并非其无视建议的选择,而是 LayerZero 官方指南中的默认设置,且被攻击者利用的验证器网络(DVN)是 LayerZero 自有的基础设施。
根据 Dune 的分析,在基于 LayerZero 的 2665 个 OApp 合约中,47% 采用 1/1 DVN 配置,也就是单验证机制,这使得行业的风险倍急剧扩大。
比出现问题更可怕的是,当事方不承认错误、回避错误。LayerZero 作为跨链通讯与 Layer0 叙事的头号玩家,数百个加密项目正在使用其跨链基础设施来桥接不同链的代币与资产,如果继续保持傲慢的姿态,势必会进一步影响行业对其信心。
舆论普遍认为,LayerZero 虽未直接被黑,但声誉受损最大——它必须为“允许弱配置”付出代价,否则跨链叙事将走向崩盘。
也就是说,LayerZero 不仅需要提出明确的技术改进措施,也需要在资产赔偿方案上曾担更多责任。
二、Layer2 已死?Arbitrum 的超常规冻结
针对 Layer2 的讨论则来自 Arbitrum 的冻结行为。今日中午,Arbitrum 安全委员会发布公告称,已采取紧急行动解救了黑客存放在 Arbitrum One 地址中的 30,766 枚 ETH,目前价值 7100 万美元。
Arbitrum 方面还表示,经过大量的技术调查和审议,安全委员会确定并执行了一项技术方案,在不影响任何其他链状态或 Arbitrum 用户的情况下,将资金转移到安全地点。原持有资金的地址已无法访问这些资金,只有 Arbitrum 管理机构才能采取进一步行动转移这些资金,该行动将与相关各方协调进行。
根据行业人士的解读,Arbitrum 安全委员会使用了一个特权的状态覆盖交易类型(这是 ArbOS 的一部分,但基本上从未使用过),让攻击者的私钥仍然可以签名交易,但该地址的 ETH 由链本身转移了。
这个特殊的交易类型完全绕过了攻击者的私钥,只有链本身(通过 sequencer / ArbOS 升级路径,由 Arbitrum 安全委员会控制)才能注入。
据悉,Arbitrum 安全委员会由 12 名个人组成,他们是由 Arbitrum DAO 选举产生的,任何决策都需要其中 9/12 人同意。
一石激起千层浪。此前在外界看来 Arbitrum 作为具有代表性的 Layer2 并没有处理用户 ETH 资产的能力与权限,毕竟这有违区块链的去中心化精神。
在过去的黑客事件中,黑客盗取的 USDT、USDC 往往都可以在第一时间由 Tether、Circle 冻结,以减少用户损失。ETH 作为链原生资产,历史上还没有过被链本身冻结和转移的先例,也超出了绝大多数用户的预期范围。
许多观点支持 Arbitrum 的做法,例如“所有公司、银行和正规金融机构最终都会采用二级架构。在关键时刻像一个集中式实体那样运作并非缺陷,而是一项优势。”但对于更多技术极客而言并非如此。
“无需私钥,无需授权,直接转账。”在很多观点看来,Arbitrum 的此次操作可谓重新定义了 Layer2 的去中心化程度,这使得他们在 Layer2 上缺乏安全感。
蓝狐直言,这次事件已经直接触碰了 DeFi 核心意识形态红线:“Not Your keys, not your coins”。这次事件又回到了加密的经典难题:实用主义的安全 vs 完全去中心化的安全。
结语
当 LayerZero 说“协议运行完全符合预期”时,它保住了技术正确性,却输掉了舆论与信任;当 Arbitrum 用特权交易转移 7100 万美元 ETH 时,它挽救了用户资金,却重创了 Layer2 的去中心化叙事。
Kelp 被盗风波把两个最热门的叙事同时推上审判台:跨链桥到底是基础设施还是风险放大器?Layer2 究竟是以太坊的可靠扩展,还是披着去中心化外衣的二级银行?
LayerZero 由于单一验证节点机制遭到攻破,Arbitrum 使用集中化的特殊投票机制为 LayerZero 与 Kelp DAO 挽回损失。这构成了一个极其讽刺的闭环:一个自诩去中心化的协议,因其“单点脆弱”而崩塌;最终却不得不依靠另一个协议的“中心化特权”来收场。
它逼迫整个行业直面一个从未被正面回答的问题:当去中心化的理想撞上现实的安全代价时,我们究竟愿意牺牲哪一边 ?
宏大叙事的讨论是一个舆论焦点,用户的赔偿方案则是另一个现实的舆论焦点。即便 Arbitrum 通过技术手段追回超过 7000 万美元资金,但 Aave 仍然存在近 2亿美元的坏账,用户的利益又该如何得到应有的维护与保障?
在绝大多数黑客事件中,千万美元级别的损失对协议而言堪称灭顶之灾,用户的追赔通常无疾而终。但此次事件涉及 Aave、Layerzero 等头部明星项目,其坏账处理方案备受瞩目。
Aave 今日提出两种可能的坏账处理方案,第一种是损失在所有 rsETH 持有者之间社会化分摊(全链分担), Kelp DAO 对所有 rsETH(主网 + L2)进行统一价值减计(约 15% 脱钩);第二种是只让 L2 上的 rsETH 持有者承担所有损失,主网 rsETH 维持原价值。
但是,Kelp DAO 与 LayerZero 官方至今没有谈论其在赔偿方案中扮演的角色。从 LayerZero 在报告中试图撇清责任的态度中不难看出,该项目认为没有责任就没有赔偿的义务。
不过,一个拥有数十亿美元估值、被数百个项目视作底层依赖的协议,在面对 DVN 默认配置导致的巨额损失时选择“技术性免责”,这本身就是对“底层基础设施”这一定义的巨大讽刺。
这是一种典型的囚徒困境,身处危机的各方都在试图通过“利益切割”来实现自身损失的最小化,而非通过共担责任来修补行业的信任赤字。
从本次事件对行业各方的负面影响来看,对于 DeFi 领域而言,这将是史上最危险的一次囚徒困境。
