Взлом Kelp DAO разогрел спор о безопасности кроссчейн-мостов и реальной децентрализации L2

Автор: Гу Ю, ChainCatcher Спустя более 40 часов после кражи последствия атаки на Kelp DAO продолжают нарастать: в дискуссию втягиваются Aave, LayerZero и Arbitrum, а отдельные популярные нарративы на рынке звучат как приговор самим себе. KOL Фэн Усян на X заявил, что "теперь безопасен только ETH", а Arbitrum якобы уже санкционировал заморозку пользовательских активов: "Ни один L2 больше не настоящий L2. L2 поднялись вместе с Arbitrum и вместе с Arbitrum упадут". Другой известный KOL Ланьху отметил, что главным проигравшим в истории с kelp оказался не Aave и не Kelp, а LayerZero, хотя, по его мнению, многие слишком поверхностно смотрят на причины: речь не о "смерти L2" (даже "псевдо-L2" рынок бы пережил), а о провале кроссчейн-мостов. Резкие оценки множатся, участники цепочки обвиняют друг друга. Инцидент с Kelp DAO стал показательным кейсом — кто и за что отвечает при взломе, и где проходит граница между прагматичной безопасностью и технологическим фундаментализмом. I. "Опровергли ли L0"? Кроссчейн-мосты — главный пострадавший нарратив Триггером стала опубликованная вчера подробная записка LayerZero об атаке. В предварительных выводах ответственность возлагается на Lazarus Group, которую связывают с КНДР. По версии LayerZero, злоумышленники скомпрометировали downstream RPC-инфраструктуру, на которую опирается их decentralized verification network (DVN): получили контроль над частью RPC-нод, затем при помощи DDoS вынудили систему переключиться на вредоносные узлы и подделали кроссчейн-транзакции. Руководитель по инвестициям и партнерствам Animoca Brands Самуэль Цэ назвал связку "отравления" RPC через скомпрометированные ноды и DDoS по незатронутым RPC ради failover "крайне сложным методом" и "по сути войной на уровне инфраструктуры". В финале отчета LayerZero подчеркнул: протокол работал "ровно так, как задумано", уязвимостей в нем не выявлено. Модульная безопасность, как утверждается, локализовала атаку в пределах одного приложения — без распространения на другие OFT или OApp и без "риска заражения". Именно такая позиция — фактическое снятие с себя ответственности — запустила волну критики. Исследователь CM публично задал вопросы: почему вообще допускается конфигурация 1/1, как атакующий получил доступ к внутреннему списку RPC, и почему логика failover после DDoS начала доверять скомпрометированному RPC, не остановив валидацию и не применив хотя бы минимальные защитные меры. DeFi-разработчик banteg также усомнился в формулировках: в заявлении говорится, что "протокол работает как ожидается", а инцидент описывается как компрометация и "poisoning" RPC. По его оценке, проблема шире — речь о проникновении и компрометации инфраструктуры, а без объяснения, как именно случилось вторжение, он не спешит "включать мост обратно". Kelp DAO в своем заявлении утверждает, что использованная в атаке конфигурация single-validator (1/1) была не произвольным игнорированием рекомендаций, а настройкой по умолчанию из официальных гайдов LayerZero, а скомпрометированная сеть валидаторов (DVN) — инфраструктура самого LayerZero. По данным Dune, из 2 665 OApp-контрактов на LayerZero 47% используют конфигурацию DVN 1/1, то есть одиночный механизм верификации, что, по мнению критиков, масштабирует риск на всю индустрию. Рынок пугает не столько сам сбой, сколько нежелание его признавать. LayerZero как ключевой игрок в межсетевом взаимодействии и носитель нарратива "Layer 0" обслуживает сотни проектов, которые переносят токены и активы между сетями. Сохранение высокомерной линии способно ускорить потерю доверия. В отраслевой дискуссии укрепляется мысль: даже если LayerZero не был взломан напрямую, репутационный урон для него максимален — за "допуск слабых конфигураций" придется платить, иначе кроссчейн-история начнет рушиться. От проекта ждут не только технических улучшений, но и большей доли ответственности в схеме компенсаций. II. "Умер ли Layer 2"? Прецедент Arbitrum с заморозкой Вторая линия спора связана с действиями Arbitrum. Сегодня в полдень Совет безопасности Arbitrum сообщил, что в экстренном порядке "спас" 30 766 ETH, находившихся у хакера на адресе в Arbitrum One. Текущая оценка — $71 млн. В заявлении говорится, что после технического анализа и обсуждений был найден способ перевести средства в безопасное место, не затронув другое состояние сети и пользователей Arbitrum. Исходный адрес больше не может распоряжаться активами, а дальнейшие действия по их перемещению доступны только через управление Arbitrum и будут координироваться с заинтересованными сторонами. По словам участников рынка, Совет безопасности использовал привилегированный тип транзакции state override (часть ArbOS, но почти никогда не применяемый). Механика, как утверждается, позволила приватному ключу злоумышленника продолжать подписывать транзакции, но ETH с адреса переместила сама цепочка. Этот тип операции обходит приватный ключ и может быть внесен только самой сетью через путь sequencer / обновление ArbOS, который контролирует Совет безопасности. Сообщается, что в Совете безопасности Arbitrum 12 человек, избранных Arbitrum DAO, и решение требует минимум 9 голосов из 12. Этот шаг стал шоком для части пользователей. Ранее многие исходили из того, что Arbitrum как представитель L2 не должен иметь возможности или полномочий вмешиваться в ETH пользователей — это выглядело бы противоречием духу децентрализации. В прошлых взломах USDT и USDC часто замораживались эмитентами Tether и Circle. Но ETH как нативный актив исторически не "замораживался" и не переносился самой цепочкой, поэтому происходящее вышло за рамки ожиданий. Сторонники решения считают, что в критический момент режим "как у централизованной организации" — не недостаток, а преимущество: "в итоге компании, банки и регулируемые финорганизации все равно будут использовать L2". Технологические пуристы отвечают иначе: "без приватного ключа, без разрешения — прямой перевод". Для них это фактически меняет планку децентрализации на L2 и усиливает тревогу за безопасность средств. Лань Ху сформулировал это как переход идеологической красной линии DeFi: "Not Your keys, not your coins". Итог LayerZero, заявив, что "протокол работал как задумано", сохранил формальную техническую правоту, но потерял доверие. Arbitrum, переведя $71 млн в ETH через привилегированные транзакции, спас средства, но ударил по нарративу о децентрализации Layer 2. Взлом Kelp поставил под суд два самых громких сюжета рынка: кроссчейн-мосты — это инфраструктура или усилитель рисков; Layer 2 — надежное расширение Ethereum или децентрализованная вывеска для "второго банка". Ситуация замкнулась в ироничный круг: механизм, который продвигал децентрализацию, споткнулся о "единую точку отказа" в виде single validation node, а разруливать последствия пришлось через "централизованную привилегию" другого протокола. Индустрия вновь упирается в вопрос, на который нет удобного ответа: когда идеал децентрализации конфликтует с реальной ценой безопасности, чем готовы пожертвовать участники рынка? Отдельная практическая тема — компенсации. Хотя Arbitrum технически вернул более $70 млн, у Aave сохраняется почти $200 млн bad debt. Как защитить интересы пользователей — ключевой вопрос. Aave сегодня предложил два варианта закрытия плохого долга. Первый — распределить потери между всеми держателями rsETH (общесетевое разделение нагрузки): Kelp DAO проводит единый write-down стоимости для всего rsETH (mainnet + L2), что эквивалентно примерно 15% depeg. Второй — переложить потери только на держателей rsETH в L2, сохранив исходную стоимость rsETH в mainnet. Роли Kelp DAO и официальной команды LayerZero в плане компенсаций при этом не прояснены. По попытке LayerZero дистанцироваться от ответственности в отчете многие делают вывод: проект считает, что отсутствие вины означает отсутствие обязательств по выплатам. Для протокола с многомиллиардной оценкой, на который как на базовую инфраструктуру опираются сотни проектов, "технический отказ от ответственности" за крупные потери, связанные с дефолтной настройкой DVN, выглядит особенно противоречиво — и ставит под сомнение само определение "базовой инфраструктуры". Рынок получает классическую дилемму заключенного: в кризисе стороны пытаются минимизировать собственные потери через "разделение интересов" вместо разделения ответственности и восстановления доверия. Для DeFi, с учетом масштаба участников вроде Aave и LayerZero, это может стать самым опасным вариантом такой дилеммы.