DeFi est plongé dans la crise de l'impasse du prisonnier la plus dangereuse de l'histoire

Après avoir été piraté depuis plus de 40 heures, la réaction en chaîne déclenchée par Kelp DAO continue de fermenter, impliquant de plus en plus de projets renommés tels qu’Aave, LayerZero, Arbitrum, etc., allant même jusqu’à faire passer certaines narratives populaires au rang de condamnation à mort.

Un influenceur connu, 风无向, a déclaré sur la plateforme X que seul ETH était désormais sécurisé, ARB ayant également autorisé le gel et la transfert des actifs des clients. Aucun L2 n’est vraiment un L2, devrait-on dire. L2, qui a émergé avec Arbitrum, a aussi disparu avec Arbitrum.

Un autre influenceur connu, 蓝狐, a indiqué que la plus grande perte de l’incident Kelp n’était ni Aave ni Kelp, mais LayerZero, simplement parce qu’il était trop court-termiste et ne voyait pas la véritable nature de l’événement. La véritable nature de cet incident n’est pas la falsification des L2 (même si c’est le cas), mais la falsification des ponts cross-chain.

De plus en plus de points de vue acerbes émergent dans l’opinion publique, chaque partie impliquée défendant sa version et se renvoyant la balle, ce qui fait de l’incident du piratage de Kelp DAO une fenêtre d’observation typique pour la responsabilité en matière de sécurité, le conflit entre pragmatisme et fondamentalisme technologique.

1. L0 falsifié ? Les ponts cross-chain deviennent les grands perdants

Le point clé de l’événement est le rapport détaillé publié hier par LayerZero sur l’attaque, qui indique initialement que l’attaquant serait le groupe Lazarus, ayant des liens avec la Corée du Nord. L’attaque a été réalisée par empoisonnement de leur réseau de validation décentralisé (DVN) dépendant de l’infrastructure RPC en aval, en contrôlant certains nœuds RPC et en menant une attaque DDoS, induisant le système à basculer vers des nœuds malveillants, falsifiant ainsi des transactions cross-chain.

« Utiliser des nœuds compromis pour empoisonner l’infrastructure RPC, combiné à une attaque DDoS sur les RPC non affectés pour forcer une bascule, est une méthode très complexe. C’est essentiellement une guerre d’infrastructure », a commenté Samuel Tse, responsable des investissements et des partenariats chez Animoca Brands.

À la fin du rapport, LayerZero indique que le protocole a fonctionné comme prévu tout au long de l’incident. Aucune vulnérabilité n’a été détectée dans le protocole. La caractéristique principale de l’architecture LayerZero est la sécurité modulaire, et dans ce cas précis, elle a parfaitement atteint ses objectifs, en isolant toute l’attaque à une seule application — le système dans son ensemble n’a pas été infecté, et aucun autre OFT ou OApp n’a été affecté.

Ce déni total de responsabilité a été le déclencheur d’une forte réaction publique, de nombreux experts du secteur exprimant leur mécontentement face à la performance de LayerZero dans cette affaire.

« L0 s’est lavé les mains, tout en rejetant la faute sur la mauvaise configuration de KelpDAO, prétendant n’avoir aucun problème. C’est incroyable. Pourquoi permettre l’existence d’une configuration 1/1 ? Pourquoi la liste RPC interne peut-elle être accessible à l’attaquant ? Pourquoi la logique de failover fait-elle confiance aux RPC pollués après une attaque DDoS, sans arrêter la validation ou faire ne serait-ce qu’une petite action ? » a demandé CM, un chercheur reconnu dans le secteur.

« Cette attitude d’évitement délibéré me met très mal à l’aise. La déclaration indique clairement que « le protocole a fonctionné comme prévu ». L’attaque est décrite comme une compromission des nœuds RPC et une empoisonnement RPC. Mais ce n’est pas le cas : leur infrastructure a été infiltrée et endommagée. Étant donné que la déclaration ne précise pas comment l’intrusion s’est produite, je ne vais pas réactiver la passerelle immédiatement », a déclaré banteg, un développeur DeFi réputé.

Le porte-parole officiel de Kelp DAO a également réagi, affirmant que la configuration du validateur unique (1/1) responsable de cette attaque n’était pas une négligence de leur part, mais la configuration par défaut recommandée dans le guide officiel de LayerZero, et que le validateur exploité par l’attaquant (DVN) est l’infrastructure propre à LayerZero.

Selon une analyse de Dune, parmi les 2665 contrats OApp basés sur LayerZero, 47 % utilisent une configuration 1/1 DVN, c’est-à-dire un mécanisme de validation unique, ce qui augmente considérablement le risque pour l’industrie.

Ce qui est encore plus inquiétant que le problème lui-même, c’est le fait que les parties impliquées refusent de reconnaître leurs erreurs ou d’assumer leur responsabilité. LayerZero, en tant que principal acteur de la communication cross-chain et de la narration Layer0, voit des centaines de projets cryptographiques utiliser son infrastructure pour relier des tokens et des actifs entre différentes chaînes. Si cette attitude arrogante perdure, cela pourrait encore plus miner la confiance de l’industrie en lui.

L’opinion publique pense généralement que, même si LayerZero n’a pas été directement piraté, sa réputation en a souffert — il doit payer le prix d’avoir permis une configuration faible, sinon la narration cross-chain s’effondrera.

Autrement dit, LayerZero doit non seulement proposer des améliorations techniques claires, mais aussi assumer davantage de responsabilités dans le cadre de ses plans de compensation des actifs.

2. Layer2 est-il mort ? La suspension exceptionnelle d’Arbitrum

Les discussions sur Layer2 concernent la suspension d’Arbitrum. Ce midi, le comité de sécurité d’Arbitrum a publié un communiqué annonçant avoir pris des mesures d’urgence pour sauver 30 766 ETH stockés dans l’adresse Arbitrum One, d’une valeur actuelle de 71 millions de dollars.

Ils ont également indiqué qu’après une enquête technique approfondie, le comité de sécurité avait décidé et mis en œuvre une solution technique permettant de transférer les fonds vers un endroit sûr, sans affecter l’état d’autres chaînes ou les utilisateurs d’Arbitrum. L’adresse initiale ne peut plus accéder à ces fonds, seul le gestionnaire d’Arbitrum peut prendre des mesures pour transférer ces fonds, en coordination avec les parties concernées.

Selon des analystes, le comité de sécurité d’Arbitrum a utilisé un type de transaction de couverture d’état privilégiée (qui fait partie d’ArbOS, mais a été rarement utilisé), permettant à la clé privée de l’attaquant de signer des transactions, mais le ETH de cette adresse a été transféré par la chaîne elle-même.

Ce type de transaction contourne totalement la clé privée de l’attaquant, seule la chaîne (via le séquenceur / mise à jour d’ArbOS, contrôlée par le comité de sécurité d’Arbitrum) peut injecter ces fonds.

Il est à noter que le comité de sécurité d’Arbitrum est composé de 12 membres élus par le DAO d’Arbitrum, et toute décision nécessite l’approbation de 9 sur 12 membres.

Ce geste a suscité une énorme controverse. Jusqu’ici, Arbitrum, en tant que Layer2 représentatif, n’avait pas la capacité ou l’autorisation de gérer les ETH des utilisateurs, ce qui va à l’encontre de l’esprit de décentralisation de la blockchain.

Dans le passé, en cas de piratage, les tokens USDT ou USDC volés pouvaient être rapidement gelés par Tether ou Circle, limitant ainsi les pertes pour les utilisateurs. Mais pour l’ETH, en tant qu’actif natif de la chaîne, il n’y a pas d’exemple historique de gel ou de transfert par la chaîne elle-même, ce qui dépasse largement les attentes des utilisateurs.

De nombreux avis soutiennent la démarche d’Arbitrum, comme « toutes les entreprises, banques et institutions financières finiront par adopter une architecture secondaire. Fonctionner comme une entité centralisée dans des moments critiques n’est pas un défaut, mais un avantage. » Cependant, pour beaucoup de techniciens, ce n’est pas acceptable.

« Pas besoin de clé privée, pas besoin d’autorisation, transfert direct. » Selon plusieurs opinions, cette opération d’Arbitrum redéfinit le degré de décentralisation d’un Layer2, ce qui suscite un sentiment d’insécurité.

蓝狐 affirme que cet incident touche directement à la ligne rouge de l’idéologie centrale de la DeFi : « Not Your Keys, Not Your Coins ». L’événement ramène à nouveau la vieille question de la sécurité pragmatique versus la sécurité totalement décentralisée.

Conclusion

Lorsque LayerZero affirme que « le protocole a fonctionné comme prévu », il a préservé la validité technique, mais a perdu la confiance et l’opinion publique ; lorsque Arbitrum a utilisé une transaction privilégiée pour transférer 71 millions de dollars en ETH, il a sauvé les fonds des utilisateurs, mais a gravement porté atteinte à la narration de décentralisation du Layer2.

Le scandale du piratage de Kelp a mis en lumière deux des narrations les plus populaires : les ponts cross-chain sont-ils une infrastructure ou un amplificateur de risques ? Le Layer2 est-il une extension fiable d’Ethereum ou une banque secondaire déguisée en décentralisation ?

LayerZero, victime d’une faille dans son mécanisme de validation unique, et Arbitrum, utilisant un mécanisme de vote centralisé pour sauver LayerZero et Kelp DAO, forment un cercle vicieux extrêmement ironique : un protocole qui se prétend décentralisé s’effondre à cause de sa « vulnérabilité en point unique » ; il doit finalement recourir à un autre protocole doté d’un « privilège centralisé » pour se sortir d’affaire.

Cela oblige toute l’industrie à faire face à une question jamais vraiment répondue : lorsque l’idéal de décentralisation rencontre le coût de sécurité réel, jusqu’où sommes-nous prêts à sacrifier l’un ou l’autre ?

Les débats sur la grande narration restent un point focal de l’opinion, mais la question de la compensation des utilisateurs en est une autre, bien concrète. Même si Arbitrum a récupéré plus de 70 millions de dollars par des moyens techniques, Aave détient encore près de 200 millions de dollars de créances douteuses, et la protection des intérêts des utilisateurs reste une priorité.

Dans la majorité des incidents de piratage, des pertes de plusieurs millions de dollars sont souvent une catastrophe pour le protocole, et les demandes de remboursement des utilisateurs restent souvent sans suite. Mais cette fois, avec des projets comme Aave et LayerZero impliqués, la gestion des créances douteuses est très scrutée.

Aave a proposé deux scénarios pour la gestion des pertes : le premier, une répartition sociale des pertes entre tous les détenteurs de rsETH (partage sur toute la chaîne), avec une réduction de valeur d’environ 15 % de tous les rsETH (mainnet + L2) ; le second, que seuls les détenteurs de rsETH sur L2 supportent la perte, le rsETH du mainnet conservant sa valeur initiale.

Cependant, ni Kelp DAO ni LayerZero n’ont encore discuté de leur rôle dans le plan de compensation. La position de LayerZero dans le rapport, qui tente de se décharger de toute responsabilité, montre que le projet considère qu’il n’a aucune obligation de compensation sans responsabilité claire.

Mais, un protocole valorisé à plusieurs milliards de dollars, dépendant de centaines de projets, qui choisit une « exonération technique » face à une perte énorme causée par la configuration DVN par défaut, constitue une énorme satire de la notion même d’« infrastructure sous-jacente ».

C’est un dilemme du prisonnier typique : toutes les parties en crise tentent de minimiser leurs pertes par une « répartition des intérêts » plutôt que de partager la responsabilité pour réparer la confiance dans l’industrie.

D’après l’impact négatif de cet incident sur l’ensemble du secteur, il s’agit probablement de la plus grave situation de dilemme du prisonnier dans l’histoire de la DeFi.