DeFi se encuentra en la situación de dilema del prisionero más peligrosa de la historia

Autor: Gu Yu, ChainCatcher

Después de más de 40 horas de haber sido robado, la reacción en cadena provocada por Kelp DAO sigue fermentando, no solo involucrando a proyectos conocidos como Aave, LayerZero, Arbitrum, sino que incluso ha llegado a que algunas narrativas populares sean sometidas a juicio de muerte.

El conocido KOL Feng Wuxiang en la plataforma X afirmó que solo ETH es segura ahora, ARB también ha autorizado el congelamiento y transferencia de los activos de los clientes. Ningún L2 es realmente un L2, debería ser así. L2 surgió en Arbitrum, y también murió en Arbitrum.

Otro conocido KOL, Lan Hu, dijo que la mayor pérdida en el incidente de Kelp no fue de Aave ni de Kelp, sino de LayerZero, solo que fue demasiado miope y no vio la verdadera esencia del evento. La esencia de este incidente no es que se haya falsificado un L2 (que sería lo de menos), sino que se ha falsificado el puente entre cadenas.

Cada vez aparecen más opiniones acaloradas en la opinión pública, las partes involucradas discuten y se culpan mutuamente, lo que hace que el incidente del robo en Kelp DAO se convierta en una ventana típica para observar la división de responsabilidades en accidentes de seguridad, el conflicto entre pragmatismo y fundamentalismo técnico.

1. ¿Se ha falsificado el L0? Los puentes entre cadenas se convierten en los mayores perdedores

El punto clave del incidente fue el informe detallado de la brecha de seguridad publicado ayer por LayerZero, donde se estima preliminarmente que el atacante es el grupo Lazarus, con antecedentes en Corea del Norte. El ataque se realizó mediante la inyección de toxinas en su red de validación descentralizada (DVN) dependiente de infraestructura RPC de nivel inferior, controlando algunos nodos RPC y combinándolo con ataques DDoS, induciendo al sistema a cambiar a nodos maliciosos, falsificando así transacciones entre cadenas.

“Utilizar nodos comprometidos para realizar ataques de inyección en la infraestructura RPC, combinándolo con DDoS en RPC no afectados para forzar fallos, es una técnica muy compleja. Es esencialmente una guerra de infraestructura.”, evaluó Samuel Tse, director de inversiones y colaboraciones en Animoca Brands.

Al final del informe, LayerZero afirmó que el protocolo funcionó completamente según lo previsto durante todo el evento. No se encontraron vulnerabilidades en el sistema. La característica central de la arquitectura de LayerZero es la seguridad modular, y en este caso, logró aislar el ataque a una sola aplicación, sin que el sistema completo se infectara, sin riesgo de contagio a otros OFT o OApp.

Esta completa desvinculación de su responsabilidad fue la chispa que provocó una gran reacción pública, con muchos expertos en la industria expresando su insatisfacción con el desempeño de LayerZero en este incidente.

“L0 se limpia las manos, toda la culpa la echa a la configuración errónea de KelpDAO, y ellos insisten en que no tuvieron ningún problema. Es increíble. Pregunto, ¿por qué se permite que exista una configuración 1/1? ¿Por qué la lista interna de RPC puede ser obtenida por los atacantes? ¿Por qué la lógica de failover confía en RPC contaminados tras un DDoS, sin detener la validación o hacer algo al respecto?” cuestionó CM, investigador destacado en la industria.

“Esta actitud de evasión deliberada me incomoda mucho. En la declaración claramente dice que ‘el protocolo funcionó completamente según lo previsto’. Se describe el ataque como la penetración y toxificación de nodos RPC, pero no fue así; su infraestructura fue invadida y dañada. Dado que la declaración no explica cómo ocurrió la intrusión, no tengo prisa en volver a habilitar los puentes.”, afirmó banteg, desarrollador de DeFi reconocido.

La oficina oficial de Kelp DAO también emitió un comunicado, señalando que la configuración del validador único (1/1) que causó el ataque no fue una opción ignorando recomendaciones, sino que era la configuración predeterminada en las guías oficiales de LayerZero, y que el validador explotado (DVN) es infraestructura propia de LayerZero.

Según análisis de Dune, en los 2665 contratos OApp basados en LayerZero, el 47% utiliza la configuración 1/1 DVN, es decir, mecanismo de validación único, lo que aumenta exponencialmente el riesgo en la industria.

Más alarmante que los problemas en sí, es que las partes involucradas no admiten errores ni evaden responsabilidades. LayerZero, como principal actor en comunicación entre cadenas y narrativa Layer0, está siendo utilizado por cientos de proyectos de criptomonedas para puente de tokens y activos entre diferentes cadenas. Si continúa con una actitud arrogante, su confianza en la industria se verá aún más afectada.

La opinión pública considera que, aunque LayerZero no fue hackeado directamente, su reputación sufrió el mayor daño — debe pagar el precio por “permitir configuraciones débiles”, de lo contrario, la narrativa de las cadenas cruzadas colapsará.

Es decir, LayerZero no solo necesita proponer mejoras técnicas claras, sino también asumir más responsabilidades en los planes de compensación de activos.

2. ¿Layer2 está muerto? La congelación extraordinaria de Arbitrum

La discusión sobre Layer2 surge a raíz de la acción de congelación de Arbitrum. Hoy al mediodía, el comité de seguridad de Arbitrum publicó un aviso diciendo que tomó medidas de emergencia para rescatar los 30,766 ETH almacenados en la dirección de Arbitrum One, valorados en 71 millones de dólares.

Además, indicaron que tras una exhaustiva investigación técnica y deliberaciones, el comité de seguridad decidió y ejecutó un plan técnico que, sin afectar el estado de otras cadenas o a los usuarios de Arbitrum, transfirió los fondos a un lugar seguro. La dirección original de los fondos ya no puede acceder a ellos, solo la administración de Arbitrum puede tomar acciones adicionales para mover esos fondos, en coordinación con las partes involucradas.

Según expertos del sector, el comité de seguridad de Arbitrum utilizó un tipo de transacción de control privilegiado (parte de ArbOS, pero casi nunca usado), que permite que la clave privada del atacante firme transacciones, pero los ETH en esa dirección son transferidos por la cadena misma.

Este tipo especial de transacción evita completamente que la clave privada del atacante sea necesaria, solo la cadena (a través del secuenciador / actualización de ArbOS, controlada por el comité de seguridad de Arbitrum) puede inyectar esas transferencias.

Se sabe que el comité de seguridad de Arbitrum está compuesto por 12 personas elegidas por DAO, y cualquier decisión requiere la aprobación de al menos 9 de ellas.

Este hecho ha causado gran revuelo. Hasta ahora, en la percepción pública, Arbitrum, como un Layer2 representativo, no tenía la capacidad ni los permisos para gestionar los ETH de los usuarios, lo cual va en contra del espíritu de descentralización de la cadena.

En incidentes anteriores, los hackers que robaban USDT, USDC, podían ser rápidamente congelados por Tether o Circle, reduciendo las pérdidas para los usuarios. Pero el ETH, como activo nativo de la cadena, no había sido congelado ni transferido por la propia cadena, lo que superó las expectativas de la mayoría de los usuarios.

Muchos apoyan la postura de Arbitrum, diciendo que “todas las empresas, bancos y entidades financieras formales eventualmente adoptarán arquitecturas de segundo nivel. Operar como una entidad centralizada en momentos críticos no es un defecto, sino una ventaja.” Sin embargo, para los tecnófilos, no es así.

“Sin clave privada, sin autorización, simplemente transferencias.” Desde varias perspectivas, la acción de Arbitrum redefine el nivel de descentralización de Layer2, generando una sensación de inseguridad en estos.

Lan Hu afirmó claramente que este incidente tocó directamente la línea roja de la ideología central de DeFi: “Not Your Keys, Not Your Coins”. Este evento vuelve a poner sobre la mesa el clásico dilema de la seguridad práctica versus la seguridad completamente descentralizada.

Conclusión

Cuando LayerZero dice que “el protocolo funcionó completamente según lo previsto”, mantiene la corrección técnica, pero pierde en opinión pública y confianza; cuando Arbitrum usa transacciones privilegiadas para transferir 71 millones de dólares en ETH, salva los fondos de los usuarios, pero daña gravemente la narrativa de descentralización de Layer2.

El escándalo del robo en Kelp pone en juicio simultáneamente las dos narrativas más populares: ¿son los puentes entre cadenas infraestructura o amplificadores de riesgo? ¿Layer2 es una extensión confiable de Ethereum o un banco secundario con apariencia de descentralización?

LayerZero, por su mecanismo de nodo validador único, fue vulnerado, y Arbitrum, usando un mecanismo de votación centralizado y especial, ayudó a LayerZero y a Kelp DAO a recuperar pérdidas. Esto forma un ciclo irónico: un protocolo que se autodenomina descentralizado, colapsa por su “punto único de vulnerabilidad”, y termina dependiendo de otro protocolo con “características centralizadas” para cerrar el círculo.

Nos obliga a enfrentar una pregunta sin respuesta clara: cuando el ideal de descentralización choca con los costos de seguridad en la realidad, ¿qué estamos dispuestos a sacrificar?

Las discusiones sobre narrativas grandiosas son un foco de opinión pública, pero las soluciones de compensación a los usuarios son otra realidad. Aunque Arbitrum logró recuperar más de 70 millones de dólares, Aave aún tiene cerca de 200 millones en deudas incobrables, ¿cómo se protegerá y garantizará realmente el interés de los usuarios?

En la mayoría de los incidentes de hacking, pérdidas millonarias representan un golpe mortal para los protocolos, y las reclamaciones de los usuarios suelen terminar sin resultado. Pero en este caso, con proyectos como Aave y LayerZero en juego, la gestión de las deudas es especialmente observada.

Aave propuso dos posibles planes de recuperación: uno, socializar las pérdidas entre todos los poseedores de rsETH (reparto en toda la cadena), reduciendo el valor de rsETH en la red principal y L2 en aproximadamente un 15%; otro, que solo los poseedores de rsETH en L2 asuman las pérdidas, manteniendo el valor en la red principal.

Pero ni Kelp DAO ni LayerZero han discutido aún su papel en la compensación. La actitud de LayerZero en el informe, intentando eludir responsabilidades, indica que consideran que sin responsabilidad no hay obligación de compensar.

Sin embargo, un protocolo valorado en miles de millones de dólares, dependiente de infraestructura subyacente y considerado por cientos de proyectos como base, opta por “eximirse técnicamente” ante pérdidas enormes causadas por la configuración predeterminada del DVN, lo cual es una gran ironía sobre la definición misma de “infraestructura básica”.

Es un típico dilema del prisionero: las partes en crisis intentan minimizar sus pérdidas mediante “reparto de beneficios”, en lugar de asumir responsabilidades conjuntas para reparar la brecha de confianza en la industria.

Desde la perspectiva del impacto negativo en la industria, este será quizás el dilema del prisionero más peligroso en la historia de DeFi.