Кража: 290 миллионов долларов, три стороны отказываются признавать, кто должен оплатить решение инцидента с KelpDAO?

Оригинальный заголовок: "Триллема в $290-миллионной яме: Aave, L0, Kelp – кто будет оплачивать счет?"
Автор оригинала: Ацума, Odaily Planet Daily

Прошло более 30 часов с момента эксплуатации контракта моста rsETH Kelp DAO. Участники (LayerZero, Kelp DAO, Aave) сделали заявления один за другим (в основном перекладывая вину и подчеркивая свою невиновность), но еще не предоставили окончательное решение.

Поэтому в этой статье мы рассмотрим текущие позиции и отношения участников, исследуем причины задержки с решением и попробуем предположить, как в конечном итоге может быть разрешен этот инцидент.

Примечание редактора: Для получения справочной информации, пожалуйста, обратитесь к "Нет ошибок в коде, но взломан - какова история крупнейшего взлома 2026 года через уязвимость конфигурации DVN?".

Кто должен взять на себя ответственность?

Сначала давайте обсудим вопрос ответственности.

Согласно данным, раскрытым LayerZero, прямая причина инцидента вполне ясна. Децентрализованная сеть валидаторов (DVN), управляемая LayerZero, полагалась на инфраструктуру RPC нижележащего уровня, которая была скомпрометирована (см. анализ основателя SlowMist, Cosine, ниже), и поскольку мостик контракта Kelp DAO принял DVN 1/1, злоумышленнику достаточно было завершить проверку поддельного сообщения, чтобы выполнить атаку.

LayerZero считает, что Kelp DAO, использовавший конфигурацию DVN 1/1, несет наиболее прямую ответственность за этот инцидент. В этом нет никаких сомнений; такая очевидная "точка отказа" абсурдна.

Однако, поскольку LayerZero является базовым межсетевым протоколом, он также должен нести определенную ответственность. LayerZero позволяет каждому приложению верхнего уровня независимо настраивать количество и порог DVNs. Хотя выбор DVN 1/1 был сделан Kelp DAO, как архитектурным дизайнером, LayerZero должен был избежать таких явно ошибочных настроек.

Наконец, существуют протоколы кредитования, такие как Aave (в данном случае основное внимание уделяется Aave). Хотя они также косвенно пострадали, объективно говоря, Aave, стремясь к расширению, предоставил чрезмерные возможности для заимствования активам LRT, таким как rsETH, что напрямую способствовало его нынешней пассивной ситуации. Кроме того, стоит упомянуть, что бывшая команда по управлению рисками Aave, BGD Labs (теперь отделенная от Aave), в январе прошлого года явно указала на проблему DVN Kelp DAO. Хотя Kelp и принял совет в то время, он явно не внес никаких изменений... Aave не продолжил наблюдение и не принял соответствующих мер, что привело к их собственному краху.

Таким образом, ответственность очень четко определена, с Kelp DAO в качестве основной ответственной стороны, LayerZero в качестве второй ответственной стороны, и Aave также несет некоторую косвенную ответственность.

Неловкая реальность

Реальность всегда сложнее теоретических ожиданий. Самая критическая проблема в том, что команда Kelp DAO, которая должна нести основную ответственность, не может выделить такую большую сумму денег для покрытия дефицита... Независимо от того, будут ли потери вычтены непосредственно из всех держателей rsETH или предадут ли держателей токенов Layer 2, это по сути тупик.

Так у кого же деньги? Первая - LayerZero, которая пострадала от кризиса репутации из-за этого инцидента и была временно отключена многими учреждениями и протоколами, такими как Bitgo, Tron, Ethena, Curve, ether.fi, наблюдая за потенциальной потерей большого количества межсетевого TVL; вторая - Aave, столкнувшаяся с огромным потенциальным просроченным долгом и наблюдающая за оттоком TVL в миллиарды долларов.

Поэтому "перекладывание вины" между всеми сторонами теперь очень ясно. Основная ответственная сторона, Kelp DAO, в основном парализована и не может возглавить последующую компенсацию. Им нужно обсудить с двумя старшими братьями, как действовать дальше; тем временем, вторичная ответственная сторона с возможностью компенсации и косвенно ответственная сторона, LayerZero и Aave, заявили, что в их протоколах нет никаких уязвимостей и они ясно дали понять, что не готовы легко взять на себя такую огромную ответственность. Таким образом, текущая ситуация кажется немного тупиковой.

Но я не верю, что эта ситуация продлится долго, потому что обоим протоколам необходимо решить проблему как можно скорее — LayerZero не может отказаться от своей карты экосистемы межсетевого взаимодействия OFT, а Aave не может игнорировать непрерывный отток средств.

Ключ к многопользовательской игре

Сегодня утром Aave опубликовала обновленное заявление об этом инциденте, и наиболее важная информация в нем — Aave подчеркивает, что «rsETH в основной сети Ethereum хорошо поддерживается."

Как следует понимать это заявление? Нам нужно начать с дизайна rsETH.

rsETH по сути является токеном сертификата повторной ставки, обеспеченным ликвидностью, выпущенным Kelp DAO, при этом каждый rsETH имеет один ETH в качестве основного обеспечения и систему повторной ставки. Путь: «ETH - Lido - EigenLayer - Kelp DAO - rsETH».

rsETH в мейннете - это оригинальный токен с доказательством доли, выпущенный Kelp DAO на Ethereum. Для расширения в экосистему второго уровня Kelp DAO будет использовать межсетевой контракт LayerZero (та самая система, причастная к этому инциденту) для отображения rsETH мейннета на различных решениях второго уровня. За каждый rsETH, отчеканенный на втором уровне, эквивалентная сумма rsETH мейннета будет храниться в контракте попечительства Kelp DAO и будет выпущена только после межсетевого перевода обратно в мейннет.

Теперь вернемся к самому инциденту. Как было сказано ранее, причиной кражи было что хакер, обманув DVN, подделал межцепочечное сообщение, в результате чего контракт моста "ошибочно выпустил" 116 500 rsETH — обратите внимание, что это не было созданием новых токенов из ничего, а несанкционированным выпуском оригинальных токенов с доказательством доли участия из мейннета.

Проблема заключается в следующем: эти токены уже циркулировали на втором уровне через картирование, в то время как токены мейннета находились в замороженном состоянии. Однако после взлома хакер внес их в протоколы вроде Aave, взял кредит под более ликвидный WETH и скрылся — стоит подчеркнуть, что внесенные rsETH подлинны, поэтому Aave поддерживает их в качестве обеспечения и возможность брать кредиты под эти токены.

Теперь возвращение к заявлению Aave становится интригующим. Фраза "mainnet rsETH имеет достаточную поддержку в Ethereum" по сути означает: "Эти монеты все настоящие, Kelp DAO, вы должны помочь нам обменять ETH на эти токены (контракт приостановлен, выкуп в настоящее время невозможен)… Что касается rsETH, отображенного на втором уровне, который потерял свою поддержку в mainnet, ну, это не моя проблема!""

Похоже, что это позиция Aave. Несмотря на то, что Aave подчеркивает ценность rsETH в мейннете, тем самым игнорируя ценность rsETH, отображаемую на втором уровне, и учитывая, что Aave сама имеет значительную задолженность по rsETH в своих продуктах кредитования второго уровня (ее стоимость в реальном времени составляет примерно 359 миллионов долларов), это может привести к некоторым проблемным долгам. Однако, выбирая меньшее из двух зол, Aave, вероятно, оценила потенциальные последствия обоих вариантов и пришла к выводу, что сохранение ее основного продукта в мейннете соответствует ее наилучшим интересам.

Тем не менее, это представляет только точку зрения Aave. Окончательное разрешение инцидента будет зависеть от достижения соглашения с LayerZero и Kelp DAO.

В то время как последний еще не сделал никаких дальнейших заявлений, лично я считаю, что LayerZero вряд ли примет это предложение, поскольку жертва токена, привязанного ко второму уровню, напрямую угрожает репутации LayerZero в межсетевом пространстве.

Возможный вариант решения

Проблема в конечном итоге должна быть решена. В последние дни различные эксперты в социальных сетях также давали предложения Aave, LayerZero и Kelp DAO.

Основатель DefiLlama 0xngmi вывел три возможных пути, но также указал на значительные недостатки во всех трех. Первый путь предполагает, что все держатели rsETH коллективно понесут убытки в размере 18,5% (пропорция потерянных токенов к общему количеству токенов), при этом Kelp DAO понесет убытки, а Aave также столкнется с дефолтом на сумму около 216 миллионов долларов на мейннете; второй путь заключается в игнорировании стоимости всех привязанных к Layer 2 токенов rsETH, что позволит сохранить продукт Aave на мейннете, но версия Layer 2, скорее всего, рухнет, а репутация Kelp DAO будет подорвана; третий путь заключается в полном возмещении держателям rsETH, которые владели ими до взлома, на основе снимка, в то время как последующие покупатели или получатели будут нести убытки самостоятельно, но из-за значительных перемещений средств после взлома это практически невозможно осуществить на практике.

Основатель OneKey Yishi отметил: "Лучший результат сейчас - договориться с хакером, предложить вознаграждение в размере 10-15%, вернуть большую часть, и все будут довольны. Если переговоры провалятся, фонд экосистемы LayerZero сможет покрыть большую часть убытков, поскольку он самый богатый и имеет самые долгосрочные интересы, что позволит сохранить экосистему OFT. Kelp DAO самый бедный, либо компенсация в виде токенов + будущий доход, либо просто продажа всего проекта LayerZero или Bitmine." Зонтик Aave и stkAAVE обеспечивают максимальную защиту, но вкладчики WETH ни в коем случае не должны нести убытки, иначе Morpho, Spark, Fluid, Euler столкнутся с пересмотром цен, репутация LRT будет подорвана, и вся индустрия DeFi откатится на три года назад."

Тем не менее, все стороны, безусловно, будут продолжать дебаты еще некоторое время, поскольку речь идет о миллиардах долларов, и никто не хочет быть самым большим проигравшим.

Что касается того, сколько времени потребуется для решения проблемы, как было сказано ранее, оба гиганта не хотят затягивать слишком долго. LayerZero в настоящее время находится в вынужденной паузе по решению крупных сотрудничающих учреждений и протоколов, и дальнейшие задержки, несомненно, приведут к тому, что эти партнеры переключатся на межсетевые пути; ситуация с Aave также не оптимистична, поскольку коэффициенты использования нескольких денежных рынков уже достигли 100%, что оставляет вкладчиков в состоянии "ловушки"... Если ETH внезапно обвалится, Aave, вероятно, столкнется с еще большим количеством дефолтов из-за невозможности эффективно ликвидировать активы (что имеет место в настоящее время), что в конечном итоге приведет к эффекту снежного кома ухудшающихся проблем — достигнув этой стадии, фундамент индустрии может получить удар, чего, очевидно, никто не захочет видеть.

Ссылка на оригинальную статью