Кому платить за «умолчательные настройки»? Полмесяца после взлома rsETH, генеральный директор LayerZero «сам взял на себя ответственность»

null

Статья: Yangz, Techub News

В мире Web3, который никогда не спит, 18 апреля изначально был обычным днём. Однако для сектора повторного залога ликвидности и всей экосистемы DeFi в целом, на блокчейне тихо разыгралась «землетрясение», которое может войти в историю. Менее чем за час хакеры (предположительно группа Lazarus) с помощью межцепочечного моста Kelp DAO произвели несанкционированное создание 116 500 rsETH, стоимостью около 292 миллиона долларов. Учитывая, что rsETH широко используется в качестве залога, злоумышленники не спешили продавать эти «воздушные сертификаты» без реальной поддержки стоимости, а вместо этого перевели их в основные кредитные протоколы, такие как Aave, и взяли взаймы примерно 236 миллионов долларов в ETH, что прямо привело ведущие протоколы, такие как Aave, к состоянию плохого долга.

Это не первый случай атаки на межцепочечные мосты, но именно в этот раз был открыт давно существующий в индустрии Web3 рана: когда базовая инфраструктура (протоколы) и верхние уровни (приложения) сталкиваются в вакууме, кто должен расплачиваться за исчезнувшие миллиарды активов?

В последующие полтора месяца эта кризисная ситуация превратилась в публичную борьбу за технологии, ответственность и власть. От первоначальных обвинений друг друга до сегодняшнего «активного признания ответственности» от CEO LayerZero — именно так был поставлен точка в споре о границах ответственности.

Фатальный «1/1 DVN»

Чтобы понять этот спор, нужно сначала разобрать методы атаки хакеров. Интересно, что в этот раз атака не была вызвана сложной уязвимостью в смарт-контрактах; причина кроется в конфигурационном параметре: 1-of-1 DVN.

Этот так называемый DVN — децентрализованная сеть валидаторов, отвечающая за проверку межцепочечных сообщений в архитектуре LayerZero V2. Конфигурация 1-of-1 означает, что достаточно подписи одного валидатора, чтобы сообщение считалось легитимным и выполнялось. Что ещё хуже, контроль над «ключом» не полностью принадлежит Kelp, а зависит от RPC-нод. Хакеры, внедрив вредоносный код в RPC-нод и организовав DDoS-атаку, захватили единственный валидаторский узел и отправили ему ложные «записи о уничтожении на исходной цепи». Валидатор поверил, подписал, и эта огромная сумма активов оказалась созданной из воздуха.

Итак, кто же должен нести ответственность за этот «1/1 DVN»?

Обвинения и столкновение логик

В первые часы после атаки общественное мнение в основном склонялось в пользу LayerZero. В соцсетях шла критика Kelp DAO: как крупного протокола с управлением в сотни миллионов долларов, его использование «бумажных замков» типа 1/1 было почти неприемлемым.

Однако 21 апреля, когда Kelp выпустил «официальное объяснение», произошла драматическая смена мнений. Основной аргумент Kelp сводился к тому, что если сама документация и конфигурация по умолчанию опасны, то ответственность лежит на тех, кто писал документацию и устанавливал эти параметры. Это не ошибка пользователя, а «ведущая дефектность» продукта. Несмотря на то, что CEO LayerZero Bryan Pellegrino неоднократно подчеркивал, что это выбор на уровне приложения, а не уязвимость протокола, критика сместилась с «беспомощности» Kelp на «системную высокомерность» LayerZero — осознавая риск по умолчанию, они всё равно сделали его стандартным примером для быстрого старта.

Кроме того, голоса сторонних разработчиков усилили споры. Основной разработчик Yearn banteg обнаружил, что в быстром руководстве LayerZero V2 для Ethereum, BNB Chain, Polygon, Arbitrum и Optimism используется именно такой опасный односерверный валидатор по умолчанию. Руководитель сообщества Chainlink Zach Rynes резко критиковал: обвинял LayerZero в том, что он превращает пользователей, следящих за официальными рекомендациями, в «козлов отпущения», чтобы скрыть уязвимость собственной инфраструктуры при столкновении с топовыми хакерами.

Итак, кто же прав, а кто — нет? На самом деле, никто полностью не ошибается и не прав. Суть спора — в столкновении двух логик. Первая — «этика гиков»: инструменты нейтральны, пользователь несет ответственность за свой выбор. Вторая — «принцип безопасных настроек»: продукт должен изначально находиться в максимально безопасном состоянии. Пользователи могут сознательно снижать уровень защиты ради удобства, но продукт не должен подталкивать их к опасным решениям.