DeFi enfrenta a crise de dilema do prisioneiro mais perigosa da história

Autor: Gu Yu, ChainCatcher

Após mais de 40 horas de roubo, a reação em cadeia desencadeada pelo Kelp DAO ainda continua a se desdobrar, não apenas envolvendo projetos renomados como Aave, LayerZero, Arbitrum, mas também chegando a níveis em que algumas narrativas populares estão sendo levadas a um julgamento final.

Um conhecido KOL, Feng Wu Xiang, afirmou na plataforma X que só o ETH é seguro agora, e que a ARB também autorizou o congelamento e a transferência dos ativos dos clientes. Nenhum L2 é realmente um L2, deveria. O L2 nasceu com Arbitrum, e também morreu com Arbitrum.

Outro conhecido KOL, Lan Hu, disse que a maior perda neste incidente do Kelp não foi do Aave, nem do Kelp, mas do LayerZero, que foi demasiado míope ao não perceber a essência do evento. A essência do incidente não é a falsificação do L2 (que já é ruim por si só), mas a falsificação das pontes entre cadeias.

Cada vez mais opiniões acaloradas surgem no debate público, com as partes envolvidas defendendo suas versões e trocando acusações, fazendo do roubo do Kelp DAO um exemplo clássico de disputa sobre responsabilidades por falhas de segurança, além de um confronto entre pragmatismo e fundamentalismo técnico.

1. L0 foi falsificado? As pontes entre cadeias se tornaram as maiores perdedoras

O ponto-chave do incidente foi o relatório detalhado de ataque divulgado ontem pelo LayerZero, que inicialmente aponta a Lazarus Group, de origem norte-coreana, como responsável. O ataque ocorreu por meio de envenenamento da rede de validação descentralizada (DVN) dependente da infraestrutura RPC de terceiros, controlando alguns nós RPC e combinando com ataques DDoS, induzindo o sistema a trocar para nós maliciosos, falsificando assim transações entre cadeias.

“Utilizar nós comprometidos para envenenar a infraestrutura RPC, combinando com ataques DDoS a RPCs não afetados para forçar a mudança de falha, é uma tática bastante complexa. Isso é, na essência, uma guerra de infraestrutura.” avaliou Samuel Tse, diretor de investimentos e parcerias da Animoca Brands.

No final do relatório, o LayerZero afirmou que o protocolo operou exatamente como esperado durante todo o evento. Nenhuma vulnerabilidade foi encontrada. A arquitetura do LayerZero é modular e segura por design, e neste caso, conseguiu isolar o ataque a um único aplicativo — o sistema como um todo não sofreu contaminação, e outros OFT ou OApp também não foram afetados.

Essa completa negação de responsabilidade por parte do protocolo gerou uma forte reação pública, com muitos profissionais renomados do setor insatisfeitos com a postura do LayerZero.

“L0 se limpou completamente, jogou toda a culpa na configuração incorreta do KelpDAO, e a si mesmo não teve nenhum problema. Inacreditável. Por que permitir configurações 1/1? Por que a lista de RPCs internos pode ser acessada por atacantes? Por que a lógica de failover confia na RPC contaminada após DDoS, sem parar a validação ou fazer algo mínimo?” questionou CM, pesquisador de mercado.

“Essa atitude de evasão deliberada me incomoda bastante. No comunicado, está claramente escrito que ‘o protocolo operou conforme o esperado’. Mas eles descrevem o ataque como uma invasão aos nós RPC e envenenamento da RPC. Mas o envenenamento não foi assim: a infraestrutura deles foi invadida e comprometida. Como o comunicado não explica como a invasão ocorreu, não vou reativar a ponte imediatamente,” afirmou banteg, desenvolvedor de DeFi.

A própria equipe do Kelp DAO também se pronunciou, dizendo que a configuração de validadores (1/1) que levou ao ataque não foi uma escolha negligente, mas sim a configuração padrão recomendada pelo guia oficial do LayerZero, e que o validador explorado pelo atacante (DVN) é uma infraestrutura própria do LayerZero.

Segundo análise do Dune, entre os 2665 contratos OApp baseados no LayerZero, 47% usam configuração 1/1 DVN, ou seja, mecanismo de validador único, o que aumenta exponencialmente o risco do setor.

Mais assustador que o problema em si é o fato de as partes envolvidas não admitirem o erro ou evitarem a responsabilidade. Como o principal protagonista na narrativa de comunicação entre cadeias e Layer0, o LayerZero fornece infraestrutura para centenas de projetos de criptomoedas que conectam diferentes blockchains. Se continuar com essa postura arrogante, sua credibilidade no setor será ainda mais afetada.

A opinião geral é que, embora o LayerZero não tenha sido hackeado diretamente, sua reputação foi severamente prejudicada — ele precisa pagar o preço por permitir configurações fracas, sob pena de a narrativa de interoperabilidade colapsar.

Ou seja, o LayerZero deve não apenas propor melhorias técnicas claras, mas também assumir maior responsabilidade na compensação pelos ativos afetados.

2. Layer2 morreu? A congelamento extraordinário do Arbitrum

A discussão sobre Layer2 veio com a ação de congelamento do Arbitrum. Hoje ao meio-dia, o Conselho de Segurança do Arbitrum publicou um comunicado dizendo que tomou medidas emergenciais para resgatar os 30.766 ETH armazenados na carteira do Arbitrum One, atualmente avaliada em 71 milhões de dólares.

O Arbitrum também afirmou que, após extensa investigação técnica, o conselho de segurança decidiu e executou uma solução técnica que, sem afetar o estado de outras cadeias ou usuários do Arbitrum, transferiu os fundos para um local seguro. A carteira original ficou inacessível, e apenas a administração do Arbitrum pode tomar ações adicionais para mover esses fundos, em coordenação com as partes envolvidas.

Especialistas interpretam que o Conselho de Segurança do Arbitrum utilizou um tipo de transação de controle de estado privilegiada (parte do ArbOS, mas raramente usada), permitindo que a chave privada do atacante assinasse transações, enquanto o ETH na carteira foi transferido pela própria cadeia.

Esse tipo de transação contorna completamente a chave privada do atacante, sendo possível apenas pela própria cadeia (via sequencer / atualização do ArbOS, sob controle do conselho de segurança do Arbitrum).

O conselho é composto por 12 membros eleitos pelo DAO do Arbitrum, e qualquer decisão requer a aprovação de pelo menos 9 desses membros.

Essa ação gerou grande repercussão. Antes, muitos viam o Arbitrum, como um representante de Layer2, incapaz de gerenciar ativos de ETH dos usuários ou exercer controle sobre eles, o que contraria o espírito de descentralização do blockchain.

Em incidentes anteriores, hackers que roubaram USDT ou USDC geralmente tiveram seus fundos congelados rapidamente por Tether ou Circle, minimizando perdas. Mas ETH, como ativo nativo da cadeia, nunca foi congelado ou transferido pela própria rede — o que superou as expectativas da maioria dos usuários.

Diversos especialistas apoiaram a ação do Arbitrum, dizendo que “empresas, bancos e instituições financeiras finais acabarão adotando arquiteturas de segunda camada. Operar como uma entidade centralizada em momentos críticos não é uma falha, mas uma vantagem.” Mas para muitos entusiastas de tecnologia, não foi bem assim.

“Sem chave privada, sem autorização, transferência direta.” Para muitos, essa ação do Arbitrum redefine o grau de descentralização do Layer2, gerando insegurança na sua segurança.

Lan Hu afirmou que o incidente tocou diretamente na linha vermelha da ideologia central do DeFi: “Not Your Keys, Not Your Coins”. O evento reacende o clássico dilema da segurança pragmática versus segurança totalmente descentralizada.

Conclusão

Quando o LayerZero afirma que “o protocolo operou conforme o esperado”, ele preservou a correção técnica, mas perdeu a confiança e a reputação; quando o Arbitrum utilizou transações privilegiadas para transferir 71 milhões de dólares em ETH, salvou os fundos dos usuários, mas prejudicou a narrativa de descentralização do Layer2.

O escândalo do roubo do Kelp colocou as duas narrativas mais populares sob julgamento: as pontes entre cadeias são infraestrutura ou amplificadores de risco? O Layer2 é uma extensão confiável do Ethereum ou um banco de segunda camada disfarçado de descentralizado?

Devido à vulnerabilidade de um nó de validação único, o LayerZero foi comprometido, enquanto o Arbitrum, usando um mecanismo de votação centralizado, ajudou a recuperar perdas do LayerZero e do Kelp DAO. Isso forma um ciclo irônico: um protocolo que se autodenomina descentralizado, por sua “fraqueza de ponto único”, entrou em colapso; e, no fim, precisou depender de outro protocolo com “características centralizadas” para encerrar a crise.

Isso força toda a indústria a confrontar uma questão nunca respondida: quando o ideal de descentralização colide com os custos de segurança do mundo real, qual lado estamos dispostos a sacrificar?

A discussão sobre narrativas grandiosas é um foco de opinião pública, mas a compensação aos usuários é uma outra questão de realidade. Mesmo que o Arbitrum recupere mais de 70 milhões de dólares, a Aave ainda tem quase 200 milhões de dólares em inadimplência, e como garantir os interesses dos usuários?

Na maioria dos ataques, perdas de dezenas de milhões de dólares representam um desastre para o protocolo, e as ações de recuperação geralmente não avançam. Mas neste caso, envolvendo projetos como Aave e LayerZero, a gestão das perdas é especialmente observada.

Hoje, a Aave propôs duas opções de tratamento de inadimplência: uma, distribuir socialmente a perda entre todos os detentores de rsETH (compartilhamento na cadeia toda), com uma redução de valor de cerca de 15% no rsETH principal; ou, segunda, fazer com que apenas os detentores de rsETH na L2 assumam a perda, mantendo o valor original na cadeia principal.

Porém, nem Kelp DAO nem LayerZero discutiram até agora o papel de cada um na compensação. A postura do LayerZero no relatório, de tentar isentar-se de responsabilidade, indica que o projeto acredita que, sem responsabilidade, não há obrigação de compensar.

Porém, um protocolo avaliado em dezenas de bilhões de dólares, dependente de infraestrutura de DVN padrão, que opta por “isenção técnica” diante de perdas gigantescas, é uma grande ironia à própria definição de “infraestrutura básica”.

Trata-se de um típico dilema do prisioneiro: as partes em crise tentam minimizar suas perdas por meio de “partilha de interesses”, ao invés de assumir responsabilidades conjuntas para reparar a confiança do setor.

Do impacto negativo desta crise para o setor de DeFi, pode-se dizer que será uma das mais graves dilemas do prisioneiro já enfrentados.