DeFi enfrenta a crise de dilema do prisioneiro mais perigosa da história

Após mais de 40 horas de roubo, a reação em cadeia desencadeada pelo Kelp DAO ainda continua a se intensificar, envolvendo não apenas projetos renomados como Aave, LayerZero, Arbitrum, mas chegando até a níveis em que algumas narrativas populares enfrentam um julgamento de morte.

Um influenciador conhecido, Wind Wu, afirmou na plataforma X que somente o ETH está seguro agora, e que a ARB também autorizou o congelamento e a transferência de ativos dos clientes. Nenhum L2 é realmente um L2, deveria ser assim. O L2 nasceu com Arbitrum, e também morreu com Arbitrum.

Outro influenciador conhecido, Blue Fox, disse que a maior perda neste incidente do Kelp não foi para Aave ou Kelp, mas para LayerZero, que foi demasiado míope ao não perceber a verdadeira essência do evento. A essência do incidente não é a falsificação do L2 (que já é ruim o suficiente), mas a falsificação das pontes entre blockchains.

Cada vez mais opiniões acaloradas surgem no debate público, com as partes envolvidas defendendo suas versões e se culpando mutuamente, fazendo do roubo ao Kelp DAO um exemplo clássico de uma janela de observação sobre responsabilidade por falhas de segurança, conflito entre pragmatismo e fundamentalismo técnico.

一、L0被证伪？跨链桥成最大输家

O ponto-chave do evento foi o relatório detalhado de ataque divulgado ontem pela LayerZero, que inicialmente suspeita que o atacante seja o grupo Lazarus, com base na Coreia do Norte. O ataque foi realizado por meio de envenenamento da rede de validação descentralizada (DVN) dependente da infraestrutura RPC de terceiros, controlando alguns nós RPC e combinando com ataques DDoS, induzindo o sistema a trocar para nós maliciosos, falsificando transações entre blockchains.

“Utilizar nós comprometidos para envenenar a infraestrutura RPC, combinando com ataques DDoS aos RPCs não afetados para forçar a mudança de falha, é uma tática bastante complexa. Isso é, na essência, uma guerra de infraestrutura.” avaliou Samuel Tse, chefe de investimentos e parcerias da Animoca Brands.

No final do relatório, a LayerZero afirmou que o protocolo operou exatamente como esperado durante todo o incidente. Nenhuma vulnerabilidade foi encontrada na sua arquitetura. A característica central do design da LayerZero é a segurança modular, e neste caso, ela conseguiu isolar o ataque a um único aplicativo — o sistema como um todo não foi infectado, nem outros OFT ou OApp foram afetados.

Essa completa negação de responsabilidade por parte da LayerZero foi o estopim para uma forte reação pública, com muitos profissionais renomados do setor insatisfeitos com sua atuação no episódio.

“L0 se limpou completamente, jogou toda a culpa na configuração incorreta do KelpDAO, e a si mesmo não teve nenhum problema. Inacreditável. Por que permitir uma configuração 1/1? Por que a lista de RPC internos foi acessível ao atacante? Por que a lógica de failover confia na RPC contaminada após o DDoS, sem parar a validação ou fazer algo ao menos mínimo?” questionou CM, pesquisador do setor.

“Essa postura de evasão deliberada me incomoda bastante. A declaração claramente diz que ‘o protocolo operou conforme o esperado’. O ataque foi descrito como a invasão e envenenamento dos nós RPC, mas não foi isso — a infraestrutura deles foi invadida e destruída. Como a invasão ocorreu, a declaração não explica, então não vou reativar a ponte imediatamente,” afirmou banteg, desenvolvedor de DeFi.

O próprio Kelp DAO também se pronunciou, afirmando que a configuração do validador único (1/1) que levou ao ataque não foi uma escolha negligente, mas sim a configuração padrão nas diretrizes oficiais da LayerZero, e que o validador explorado pelo atacante (DVN) é uma infraestrutura própria da LayerZero.

Segundo análise do Dune, entre os 2665 contratos OApp baseados na LayerZero, 47% usam configuração 1/1 DVN, ou seja, mecanismo de validação única, o que aumenta exponencialmente o risco do setor.

Mais assustador que o problema em si é o fato de as partes envolvidas não admitirem o erro ou evitarem a responsabilidade. Como principal protagonista na narrativa de comunicação entre blockchains e na narrativa Layer0, a LayerZero é usada por centenas de projetos de criptomoedas para conectar diferentes tokens e ativos. Se continuar com essa postura arrogante, sua credibilidade no setor será ainda mais prejudicada.

A opinião geral é que, embora a LayerZero não tenha sido hackeada diretamente, sua reputação foi gravemente afetada — ela precisa pagar o preço por “permitir configurações fracas”, caso contrário, a narrativa de interoperabilidade pode desmoronar.

Ou seja, a LayerZero não só deve propor melhorias técnicas claras, como também assumir maior responsabilidade na compensação de ativos.

二、Layer2 已死？Arbitrum 的超常规冻结

A discussão sobre Layer2 veio com a ação de congelamento do Arbitrum. Hoje ao meio-dia, o Conselho de Segurança do Arbitrum publicou um comunicado dizendo que tomou medidas emergenciais para resgatar 30.766 ETH armazenados na carteira do hacker no endereço do Arbitrum One, atualmente avaliado em 71 milhões de dólares.

O Arbitrum também afirmou que, após extensa investigação técnica e deliberação, o conselho de segurança decidiu e executou uma solução técnica que, sem afetar o estado de outras blockchains ou dos usuários do Arbitrum, transferiu os fundos para um local seguro. Os endereços originais que possuíam os fundos não podem mais acessá-los, e apenas a administração do Arbitrum pode tomar ações adicionais para mover esses ativos, em coordenação com as partes envolvidas.

Especialistas interpretam que o Conselho de Segurança usou um tipo de transação de cobertura de estado com privilégios especiais (parte do ArbOS, mas raramente utilizado), permitindo que a chave privada do atacante assinasse transações, enquanto o ETH do endereço foi transferido pela própria cadeia.

Esse tipo de transação contorna completamente a chave privada do atacante, sendo possível apenas pela própria cadeia (via sequencer / atualização do ArbOS, controlada pelo Conselho de Segurança do Arbitrum).

Sabe-se que o Conselho de Segurança do Arbitrum é composto por 12 membros eleitos pelo DAO do Arbitrum, e qualquer decisão requer a aprovação de pelo menos 9 desses membros.

Essa ação gerou grande repercussão. Antes, muitos viam o Arbitrum, como um representante de Layer2, incapaz de gerenciar ativos de ETH dos usuários ou de exercer controle sobre eles, o que contraria o espírito de descentralização da blockchain.

Em eventos anteriores de ataque, tokens como USDT e USDC podem ser congelados imediatamente por Tether e Circle, minimizando perdas para os usuários. Mas ETH, como ativo nativo da cadeia, nunca havia sido congelado ou transferido pela própria blockchain, o que superou as expectativas da maioria.

Diversos especialistas apoiam a abordagem do Arbitrum, dizendo que “empresas, bancos e instituições financeiras finais acabarão adotando arquiteturas de segunda camada. Operar como uma entidade centralizada em momentos críticos não é uma falha, mas uma vantagem.” Contudo, para muitos entusiastas de tecnologia, não é bem assim.

“Sem necessidade de chave privada, sem autorização, apenas transferências diretas.” Para muitos, essa ação do Arbitrum redefine o grau de descentralização do Layer2, gerando insegurança na sua segurança.

Blue Fox afirmou que o incidente tocou diretamente na linha vermelha da ideologia central do DeFi: “Not Your Keys, Not Your Coins”. O episódio reacende o clássico dilema da segurança pragmática versus segurança totalmente descentralizada.

结语

Quando a LayerZero afirma que “o protocolo operou conforme o esperado”, ela preservou a correção técnica, mas perdeu a confiança e a reputação; quando o Arbitrum usa transações privilegiadas para transferir ETH de 71 milhões de dólares, salvando fundos dos usuários, mas prejudicando a narrativa de descentralização do Layer2.

O escândalo do roubo ao Kelp colocou as duas narrativas mais quentes sob julgamento: as pontes entre blockchains são infraestrutura ou amplificadores de risco? O Layer2 é uma extensão confiável do Ethereum ou um banco de segunda camada disfarçado de descentralizado?

A LayerZero, por ter sido vulnerável por um mecanismo de nó de validação único, e o Arbitrum, usando um mecanismo de votação centralizado para recuperar perdas, formam um ciclo irônico: um protocolo que se autodenomina descentralizado, mas que colapsa por sua “fraqueza de ponto único”, acaba dependendo de outro protocolo com “privilégios centralizados” para encerrar a crise.

Isso força toda a indústria a confrontar uma questão nunca respondida de forma direta: quando o ideal de descentralização colide com os custos de segurança do mundo real, qual lado estamos dispostos a sacrificar?

A discussão sobre narrativas grandiosas é um foco de opinião pública, enquanto a compensação aos usuários é uma questão de realidade. Mesmo que a Arbitrum recupere mais de 70 milhões de dólares por meios técnicos, a Aave ainda enfrenta quase 200 milhões de dólares em inadimplência, e como garantir os interesses dos usuários?

Na maioria dos ataques, perdas de dezenas de milhões de dólares representam um desastre de proporções catastróficas para o protocolo, e as tentativas de recuperação geralmente não resultam em reembolso. Mas neste caso, envolvendo projetos de peso como Aave e LayerZero, a gestão das perdas é altamente observada.

Hoje, a Aave propôs duas possíveis soluções de recuperação de inadimplência: uma, distribuir socialmente a perda entre todos os detentores de rsETH (compartilhamento na cadeia); ou, duas, fazer com que apenas os detentores de rsETH na L2 assumam a perda, mantendo o valor do rsETH na cadeia principal.

Porém, nem Kelp DAO nem a LayerZero discutiram até agora qual papel desempenharão na compensação. A postura da LayerZero no relatório, de tentar isentar-se de responsabilidade, indica que ela acredita que sem responsabilidade, não há obrigação de compensar.

Por outro lado, um protocolo avaliado em dezenas de bilhões de dólares, considerado uma dependência fundamental por centenas de projetos, ao enfrentar perdas gigantescas causadas por configurações padrão do DVN, opta por uma “excludente técnica”, o que é uma grande ironia na definição de “infraestrutura básica”.

Trata-se de um típico dilema do prisioneiro: as partes em crise tentam minimizar suas perdas por meio de “partilha de interesses”, ao invés de assumir responsabilidades conjuntas para reparar a confiança do setor.

Diante do impacto negativo do incidente, para o setor de DeFi, essa será uma das maiores crises de dilema do prisioneiro já enfrentadas.