DeFi 陷入史上最危險的囚徒困境

作者：谷昱，ChainCatcher

在被盜超過 40 小時後，Kelp DAO 引發的連鎖反應仍然在持續發酵，不僅 Aave、LayerZero、Arbitrum 等越來越多知名項目牽扯進來，甚至達到一些熱門敘事遭到死亡審判的程度。

知名 KOL 風無向 在 X 平台表示，只有 ETH 是安全的了，ARB 也授權凍結轉移了客戶的資產。沒有一個 L2 是真 L2 了應該。L2 兴於 Arbitrum，也亡於 Arbitrum。

另一名知名 KOL 藍狐則表示，這次kelp事故損失最大不是 Aave，也不是 Kelp，而是 Layerzero，只是它太短視了，看不到整個事件的本質到底是什麼。這個事件的本質不是證偽了 L2（假 L2 就算了），而是證偽了跨鏈橋。

越來越多激烈的觀點出現在輿論場上，事件當事方各執一詞、互相扯皮，這使得 Kelp DAO 被盜事件成為一起觀察安全事故責任劃分、實用主義與技術原教旨主義衝突的典型窗口。

一、L0被證偽？跨鏈橋成最大輸家

事件的關鍵節點是 LayerZero 昨日發布的黑客攻擊詳細報告，初步判斷攻擊者為朝鮮背景的 Lazarus Group。攻擊通過投毒其去中心化驗證網絡（DVN）依賴的下游 RPC 基礎設施實現，攻擊者控制部分 RPC 節點並配合 DDoS 攻擊，誘導系統切換至惡意節點，從而偽造跨鏈交易。

"利用被入侵節點對 RPC 基礎設施進行投毒攻擊，並結合對未受影響的 RPC 發起 DDoS 攻擊以強制故障轉移，這種手段十分複雜。這本質上是一種基礎設施戰。"Animoca Brands 投資與合作主管 Samuel Tse 評價稱。

在報告的最後，LayerZero 表示協議在整個事件過程中完全按照預期運行。協議中未發現任何漏洞。LayerZero 架構的核心特性是模組化安全，而在這個案例中，它完美地實現了預期目標，將整個攻擊隔離到單個應用程序內------整個系統零傳染風險，其他 OFT 或 OApp 也未受到影響。

這種對自身責任的完全摘除，成為了引發巨大輿論反彈的導火索，諸多知名行業人士對 LayerZero 在該事件中的表現不滿。

"L0 把自己摘的乾淨，整篇文章把鍋全都甩給 KelpDAO 配置失誤，自己硬是一點問題沒有。絕了。請問，為什麼允許 1/1 配置存在？為什麼內部 RPC 列表能被攻擊者拿到？為什麼 failover 邏輯在 DDoS 後直接信任被污染的 RPC，而沒有直接停止驗證，或者哪怕做一點點事情？"知名行業研究員 CM 反問稱。

"這種刻意迴避的態度讓我很不舒服。聲明裡明明寫著'協議運行完全符合預期'。攻擊被描述為RPC節點被攻破和RPC投毒。但RPC投毒並非如此，他們自身的基礎設施遭到了入侵和破壞。鑑於聲明沒有說明入侵是如何發生的，我不會急於重新啟用橋接。" 知名 DeFi 開發者 banteg 表示。

Kelp DAO 官方也隨之發聲，表示導致此次攻擊的單驗證器（1/1）配置並非其無視建議的選擇，而是 LayerZero 官方指南中的默認設置，且被攻擊者利用的驗證器網絡（DVN）是 LayerZero 自有的基礎設施。

根據 Dune 的分析，在基於 LayerZero 的 2665 個 OApp 合約中，47% 採用 1/1 DVN 配置，也就是單驗證機制，這使得行業的風險倍急劇擴大。

比出現問題更可怕的是，當事方不承認錯誤、迴避錯誤。LayerZero 作為跨鏈通訊與 Layer0 敘事的頭號玩家，數百個加密項目正在使用其跨鏈基礎設施來橋接不同鏈的代幣與資產，如果繼續保持傲慢的姿態，勢必會進一步影響行業對其信心。

輿論普遍認為，LayerZero 雖未直接被黑，但聲譽受損最大------它必須為"允許弱配置"付出代價，否則跨鏈敘事將走向崩盤。

也就是說，LayerZero 不僅需要提出明確的技術改進措施，也需要在資產賠償方案上承擔更多責任。

二、Layer2 已死？Arbitrum 的超常規凍結

針對 Layer2 的討論則來自 Arbitrum 的凍結行為。今日中午，Arbitrum 安全委員會發布公告稱，已採取緊急行動解救了黑客存放在 Arbitrum One 地址中的 30,766 枚 ETH，目前價值 7100 萬美元。

Arbitrum 方面還表示，經過大量的技術調查和審議，安全委員會確定並執行了一項技術方案，在不影響任何其他鏈狀態或 Arbitrum 用戶的情況下，將資金轉移到安全地點。原持有資金的地址已無法訪問這些資金，只有 Arbitrum 管理機構才能採取進一步行動轉移這些資金，該行動將與相關各方協調進行。

根據行業人士的解讀，Arbitrum 安全委員會使用了一個特權的狀態覆蓋交易類型（這是 ArbOS 的一部分，但基本上從未使用過），讓攻擊者的私鑰仍然可以簽名交易，但該地址的 ETH 由鏈本身轉移了。

這個特殊的交易類型完全繞過了攻擊者的私鑰，只有鏈本身（通過 sequencer / ArbOS 升級路徑，由 Arbitrum 安全委員會控制）才能注入。

據悉，Arbitrum 安全委員會由 12 名個人組成，他們是由 Arbitrum DAO 選舉產生的，任何決策都需要其中 9/12 人同意。

一石激起千層浪。此前在外界看來 Arbitrum 作為具有代表性的 Layer2 並沒有處理用戶 ETH 資產的能力與權限，畢竟這有違區塊鏈的去中心化精神。

在過去的黑客事件中，黑客盜取的 USDT、USDC 往往都可以在第一時間由 Tether、Circle 凍結，以減少用戶損失。ETH 作為鏈原生資產，歷史上還沒有過被鏈本身凍結和轉移的先例，也超出了絕大多數用戶的預期範圍。

許多觀點支持 Arbitrum 的做法，例如"所有公司、銀行和正規金融機構最終都會採用二級架構。在關鍵時刻像一個集中式實體那樣運作並非缺陷，而是一項優勢。"但對於更多技術極客而言並非如此。

"無需私鑰，無需授權，直接轉帳。"在很多觀點看來，Arbitrum 的此次操作可謂重新定義了 Layer2 的去中心化程度，這使得他們在 Layer2 上缺乏安全感。

藍狐直言，這次事件已經直接觸碰了 DeFi 核心意識形態紅線："Not Your keys, not your coins"。這次事件又回到了加密的經典難題：實用主義的安全 vs 完全去中心化的安全。

結語

當 LayerZero 說"協議運行完全符合預期"時，它保住了技術正確性，卻輸掉了輿論與信任；當 Arbitrum 用特權交易轉移 7100 萬美元 ETH 時，它挽救了用戶資金，卻重創了 Layer2 的去中心化敘事。

Kelp 被盜風波把兩個最熱門的敘事同時推上審判台：跨鏈橋到底是基礎設施還是風險放大器？Layer2 究竟是以太坊的可靠擴展，還是披著去中心化外衣的二級銀行？

LayerZero 由於單一驗證節點機制遭到攻破，Arbitrum 使用集中化的特殊投票機制為 LayerZero 與 Kelp DAO 挽回損失。這構成了一個極其諷刺的閉環：一個自詡去中心化的協議，因其"單點脆弱"而崩塌；最終卻不得不依靠另一個協議的"中心化特權"來收場。

它逼迫整個行業直面一個從未被正面回答的問題：當去中心化的理想撞上現實的安全代價時，我們究竟願意犧牲哪一邊？

宏大敘事的討論是一個輿論焦點，用戶的賠償方案則是另一個現實的輿論焦點。即便 Arbitrum 通過技術手段追回超過 7000 萬美元資金，但 Aave 仍然存在近 2 億美元的壞賬，用戶的利益又該如何得到應有的維護與保障？

在絕大多數黑客事件中，千萬美元級別的損失對協議而言堪稱滅頂之災，用戶的追賠通常無疾而終。但此次事件涉及 Aave、Layerzero 等頭部明星項目，其壞賬處理方案備受矚目。

Aave 今日提出兩種可能的壞賬處理方案，第一種是損失在所有 rsETH 持有者之間社會化分攤（全鏈分擔）， Kelp DAO 對所有 rsETH（主網 + L2）進行統一價值減計（約 15% 脫鉤）；第二種是只讓 L2 上的 rsETH 持有者承擔所有損失，主網 rsETH 維持原價值。

但是，Kelp DAO 與 LayerZero 官方至今沒有談論其在賠償方案中扮演的角色。從 LayerZero 在報告中試圖撇清責任的態度中不難看出，該項目認為沒有責任就沒有賠償的義務。

不過，一個擁有數十億美元估值、被數百個項目視作底層依賴的協議，在面對 DVN 默認配置導致的巨額損失時選擇"技術性免責"，這本身就是對"底層基礎設施"這一定義的巨大諷刺。

這是一種典型的囚徒困境，身處危機的各方都在試圖通過"利益切割"來實現自身損失的最小化，而非通過共擔責任來修補行業的信任赤字。

從本次事件對行業各方的負面影響來看，對於 DeFi 領域而言，這將是史上最危險的一次囚徒困境。