DeFi est plongé dans la crise de l'impasse du prisonnier la plus dangereuse de l'histoire

Auteur : Gu Yu, ChainCatcher

Plus de 40 heures après le vol, la réaction en chaîne déclenchée par Kelp DAO continue de fermenter, impliquant de plus en plus de projets renommés tels qu’Aave, LayerZero, Arbitrum, et même atteignant le point où certaines narratives populaires sont soumises à un jugement dernier.

Un influenceur connu, Feng Wu Xiang, a déclaré sur la plateforme X que seul ETH est désormais sécurisé, ARB ayant également autorisé le gel et le transfert des actifs des clients. Aucun L2 ne serait vraiment un L2, devrait-on dire. L2, qui a prospéré grâce à Arbitrum, a aussi disparu avec Arbitrum.

Un autre influenceur célèbre, Lan Hu, a indiqué que la plus grande perte causée par l’incident Kelp n’était ni Aave ni Kelp, mais LayerZero, qui a été trop court-termiste et n’a pas vu la véritable nature de l’événement. La nature de cet incident n’est pas la falsification des L2 (même si c’est le cas), mais la falsification des ponts inter-chaînes.

De plus en plus de points de vue acerbes émergent dans l’opinion publique, chaque partie impliquée défendant sa version et se renvoyant la balle, faisant de l’incident de vol de Kelp DAO une fenêtre d’observation sur la responsabilité en matière de sécurité, ainsi que sur le conflit entre pragmatisme et fondamentalisme technologique.

1. La L0 est-elle falsifiée ? Les ponts inter-chaînes deviennent les grands perdants

Le point clé de l’événement est le rapport détaillé publié hier par LayerZero sur l’attaque, qui indique que l’attaquant serait le groupe Lazarus, ayant des liens avec la Corée du Nord. L’attaque a été menée via la contamination de leur réseau de validation décentralisé (DVN), dépendant d’une infrastructure RPC en aval, en contrôlant certains nœuds RPC et en combinant cela avec une attaque DDoS, induisant le système à basculer vers des nœuds malveillants, falsifiant ainsi des transactions inter-chaînes.

« Utiliser des nœuds compromis pour contaminer l’infrastructure RPC, combiné à une attaque DDoS sur les RPC non affectés pour forcer une bascule, est une méthode très sophistiquée. C’est essentiellement une guerre d’infrastructure. » a commenté Samuel Tse, responsable des investissements et des partenariats chez Animoca Brands.

À la fin du rapport, LayerZero affirme que le protocole a fonctionné comme prévu tout au long de l’incident. Aucune vulnérabilité n’a été détectée dans le protocole. La caractéristique principale de l’architecture LayerZero est la sécurité modulaire, et dans ce cas précis, elle a parfaitement atteint ses objectifs, en isolant toute l’attaque à une seule application — le système dans son ensemble n’a pas été infecté, et aucun autre OFT ou OApp n’a été affecté.

Ce déni total de responsabilité a été le déclencheur d’une forte réaction publique, de nombreux experts du secteur exprimant leur mécontentement face à la performance de LayerZero dans cette affaire.

« L0 s’est lavé les mains, toute la responsabilité est rejetée sur la configuration défaillante de KelpDAO, et eux, ils n’ont aucun problème. Incroyable. Pourquoi permettre une configuration 1/1 ? Pourquoi la liste RPC interne peut-elle être compromise par un attaquant ? Pourquoi la logique de failover fait-elle confiance aux RPC pollués après une attaque DDoS, sans arrêter la validation ou faire ne serait-ce qu’une petite chose ? » a demandé CM, chercheur reconnu dans le secteur.

« Cette attitude d’évitement délibéré me met très mal à l’aise. La déclaration indique clairement que « le protocole a fonctionné comme prévu ». L’attaque est décrite comme une compromission des nœuds RPC et une contamination RPC. Mais la contamination RPC n’est pas la seule explication, leur infrastructure a été infiltrée et endommagée. Étant donné que la déclaration ne précise pas comment l’intrusion s’est produite, je ne vais pas réactiver le pont immédiatement. » a déclaré banteg, développeur DeFi renommé.

Le porte-parole officiel de Kelp DAO a également réagi, précisant que la configuration du validateur unique (1/1) responsable de l’attaque n’était pas une négligence de leur part, mais la configuration par défaut dans le guide officiel de LayerZero, et que le validateur exploité par l’attaquant (DVN) est une infrastructure propre à LayerZero.

Selon une analyse de Dune, parmi les 2665 contrats OApp basés sur LayerZero, 47 % utilisent une configuration DVN 1/1, c’est-à-dire un mécanisme de validation unique, ce qui augmente considérablement le risque pour l’industrie.

Ce qui est encore plus inquiétant que le problème lui-même, c’est le fait que les parties impliquées refusent de reconnaître leurs erreurs ou d’assumer leur responsabilité. LayerZero, en tant que principal acteur de la communication inter-chaînes et de la narration Layer0, voit des centaines de projets cryptographiques utiliser son infrastructure pour relier des tokens et des actifs de différentes chaînes. Si cette attitude arrogante perdure, cela pourrait encore plus miner la confiance de l’industrie en lui.

L’opinion générale est que, bien que LayerZero n’ait pas été directement piraté, sa réputation en a souffert — il doit payer le prix d’avoir « permis une configuration faible », sinon la narration inter-chaînes s’effondrera.

Autrement dit, LayerZero doit non seulement proposer des améliorations techniques claires, mais aussi assumer davantage de responsabilités dans le cadre de ses plans de compensation des actifs.

2. La Layer2 est-elle morte ? La suspension exceptionnelle d’Arbitrum

Les discussions sur la Layer2 portent sur la suspension d’Arbitrum. Ce midi, le comité de sécurité d’Arbitrum a publié un communiqué annonçant avoir pris des mesures d’urgence pour sauver 30 766 ETH, stockés dans l’adresse Arbitrum One, d’une valeur actuelle de 71 millions de dollars.

Ils ont également indiqué qu’après une enquête technique approfondie, le comité de sécurité avait décidé et mis en œuvre une solution technique permettant de transférer les fonds vers un endroit sûr, sans affecter l’état d’autres chaînes ou les utilisateurs d’Arbitrum. L’adresse initiale détenant ces fonds n’a plus accès à ceux-ci, seul l’organisme de gestion d’Arbitrum peut prendre des mesures pour transférer ces fonds, en coordination avec les parties concernées.

Selon certains analystes, le comité de sécurité d’Arbitrum a utilisé un type de transaction de couverture d’état privilégié (qui fait partie d’ArbOS, mais qui a été très peu utilisé), permettant à la clé privée de l’attaquant de signer des transactions, tandis que la ETH de cette adresse a été transférée par la chaîne elle-même.

Ce type de transaction contourne totalement la clé privée de l’attaquant, seule la chaîne (via le séquenceur / la mise à jour d’ArbOS, contrôlée par le comité de sécurité d’Arbitrum) peut injecter ces fonds.

Il est à noter que le comité de sécurité d’Arbitrum est composé de 12 membres élus par le DAO d’Arbitrum, et toute décision nécessite l’accord de 9 sur 12 membres.

Ce geste a suscité une énorme controverse. Jusqu’ici, Arbitrum, en tant que Layer2 emblématique, n’était pas censé avoir la capacité ou le droit de gérer ou de geler les ETH des utilisateurs, ce qui va à l’encontre de l’esprit décentralisé de la blockchain.

Dans le passé, lors d’incidents de piratage, les tokens USDT ou USDC volés pouvaient souvent être gelés rapidement par Tether ou Circle, limitant ainsi les pertes pour les utilisateurs. Mais pour l’ETH, en tant qu’actif natif de la chaîne, il n’y a jamais eu de précédent de gel ou de transfert par la chaîne elle-même, ce qui dépasse largement les attentes de la majorité des utilisateurs.

De nombreux avis soutiennent la démarche d’Arbitrum, comme « toutes les entreprises, banques et institutions financières finiront par adopter une architecture secondaire. Fonctionner comme une entité centralisée dans des moments critiques n’est pas un défaut, mais un avantage. » Mais pour les technophiles, ce n’est pas si simple.

« Pas besoin de clé privée, pas besoin d’autorisation, transfert direct. » Selon plusieurs opinions, cette opération d’Arbitrum redéfinit le degré de décentralisation de Layer2, ce qui suscite une perte de confiance dans la sécurité de Layer2.

Lan Hu a déclaré que cet incident touchait directement à la ligne rouge de l’idéologie centrale de la DeFi : « Not Your Keys, Not Your Coins. » L’événement ramène à nouveau la vieille question de la sécurité pragmatique versus la sécurité totalement décentralisée.

Conclusion

Lorsque LayerZero affirme que « le protocole a fonctionné comme prévu », il a préservé la validité technique mais perdu la confiance et l’opinion publique ; lorsque Arbitrum a utilisé une transaction privilégiée pour transférer 71 millions de dollars en ETH, il a sauvé les fonds des utilisateurs mais a gravement entamé la narration de la décentralisation de Layer2.

Le scandale du vol de Kelp a mis en scène deux des narrations les plus populaires : la question de savoir si les ponts inter-chaînes sont une infrastructure ou un amplificateur de risques ? La Layer2 est-elle une extension fiable d’Ethereum ou une banque secondaire déguisée en décentralisation ?

LayerZero, victime d’une faille dans son mécanisme de validation unique, et Arbitrum, utilisant un mécanisme de vote centralisé pour sauver LayerZero et Kelp DAO, forment un cercle vicieux extrêmement ironique : un protocole qui se veut décentralisé s’effondre à cause de sa « vulnérabilité en un point », et doit finalement recourir à un mécanisme centralisé pour se relever.

Cela force toute l’industrie à faire face à une question jamais vraiment répondue : lorsque l’idéal de décentralisation rencontre le coût de sécurité réel, jusqu’où sommes-nous prêts à sacrifier ?

Les débats sur la grande narration restent un point focal de l’opinion, mais la question de la compensation des utilisateurs en est une autre, bien concrète. Même si Arbitrum a réussi à récupérer plus de 70 millions de dollars par des moyens techniques, Aave détient encore près de 200 millions de dollars de créances douteuses, et la protection des intérêts des utilisateurs reste une priorité.

Dans la majorité des incidents de piratage, des pertes de plusieurs millions de dollars sont souvent une catastrophe pour le protocole, et les demandes de remboursement des utilisateurs finissent généralement par échouer. Mais cette fois, avec des projets comme Aave et LayerZero impliqués, la gestion des créances douteuses est très scrutée.

Aave a proposé deux scénarios pour la gestion des pertes : le premier, une répartition sociale des pertes entre tous les détenteurs de rsETH (partage sur toute la chaîne), avec une réduction de valeur d’environ 15 % du rsETH (déconnexion partielle) ; le second, que seuls les détenteurs de rsETH sur L2 supportent la perte, le rsETH sur le mainnet restant inchangé.

Cependant, ni Kelp DAO ni LayerZero n’ont encore discuté de leur rôle dans ces plans de compensation. La position de LayerZero dans le rapport, qui tente de dédouaner sa responsabilité, montre que le projet considère qu’il n’a aucune obligation de compensation s’il n’est pas responsable.

Mais un protocole valorisé à plusieurs milliards de dollars, dépendant de centaines de projets, et qui choisit une « exonération technique » face à une perte colossale causée par la configuration DVN par défaut, constitue une énorme satire de la notion même d’« infrastructure sous-jacente ».

C’est un dilemme du prisonnier typique : toutes les parties en crise tentent de minimiser leurs pertes par une répartition des intérêts, plutôt que de partager la responsabilité pour réparer la perte de confiance dans l’industrie.

D’après l’impact négatif de cet incident sur l’ensemble du secteur, il s’agit probablement de la plus grave situation de dilemme du prisonnier dans l’histoire de la DeFi.