En pocas palabras, ambas descripciones son esencialmente correctas, ya que 802.11 está hablando a través del enrutador (piense en esto como un interruptor en este contexto) para llegar a su casilla. Desde una perspectiva de capa superior (el borde entre L2 y L3, que es esencialmente ARP), su modelo es correcto. (Víctima > Atacante > Enrutador)
Desde una capa inferior posiblemente el borde entre L1 y L2, ambos dispositivos están hablando al enrutador, por lo que (Víctima - > AP - > Atacante - > AP - > Router - > Internet)
Por lo tanto, el dispositivo víctima envía un paquete al atacante y, en el proceso, lo encapsula en un paquete 802.11 dirigido al punto de acceso. El punto de acceso desencapsula y descifra ese paquete, cifra y encapsula ese paquete dirigido al atacante.
Para responder a su otra pregunta, si funciona, entonces sí, elude la clave transitoria (teniendo en cuenta que ya conoce la contraseña para acceder a la red).
El modelo OSI no es muy bueno en la práctica, pero aún así es como pienso en las cosas ...
Como un aparte, todos los enrutadores WiFi que probé en los últimos años (solo unos pocos) han detectado la falsificación de ARP y han bloqueado, o han enviado a la víctima la dirección correcta, ya que se da cuenta de que algo anda mal. Dudo que sea tan común con los AP porque el enrutador es un dispositivo separado del cual el AP no es tan consciente. Raramente lo intento, ya que en la mayoría de los casos es más fácil descifrar el objetivo, luego capturar la clave transitoria en la reconexión.