KelpDAO bị tấn công làm thất thoát 292 triệu USD, lộ rõ rủi ro cầu nối LayerZero

Một lỗ hổng nghiêm trọng trong cơ sở hạ tầng cầu nối đa chuỗi của KelpDAO do LayerZero vận hành đã dẫn đến một cuộc tấn công trị giá 292 triệu USD vào ngày 18 tháng 4, tạo ra các token rsETH không có tài sản đảm bảo và gây ra cuộc khủng hoảng thanh khoản trên giao thức cho vay Aave.

Phản ứng phối hợp này cho thấy hệ sinh thái đang "vượt xa các giao thức bị cô lập để tiến tới một hệ thống tài chính có sự phối hợp chặt chẽ hơn", nhưng trọng tâm nên vẫn là trách nhiệm giải trình, Matthew Pinnock, Giám đốc điều hành tại Altura DeFi, chia sẻ với Decrypt.

Theo báo cáo của Chainalysis, những kẻ tấn công được cho là Nhóm Lazarus của Bắc Triều Tiên, đã xâm nhập mạng xác thực đơn lẻ của LayerZero bằng cách đầu độc các nút RPC nội bộ để báo cáo một vụ đốt tài sản ảo. Điều này cho phép việc đúc trái phép 116.500 rsETH trên Ethereum.

Vụ việc đã xóa sổ hơn 15 tỷ USD TVL khỏi các giao thức bị ảnh hưởng và gây ra một nỗ lực phục hồi phối hợp khổng lồ từ những người chơi DeFi hàng đầu, đồng thời đặt ra những câu hỏi nghiêm túc về bảo mật và tính tập trung của kiến trúc cầu nối đa chuỗi.

DeFi hợp lực để phục hồi

Để ứng phó với sự thiếu hụt, một liên minh các giao thức mang thương hiệu "DeFi United" đang được huy động để hấp thụ nợ xấu. Nỗ lực này bao gồm cam kết cá nhân 5.000 ETH từ người sáng lập Aave, Stani Kulechov và đề xuất từ Mantle về hạn mức tín dụng 30.000 ETH cho Aave DAO. Lido Finance, Golem Foundation và Ether.fi cũng đã cam kết hỗ trợ hàng triệu USD. Hội đồng Bảo an Arbitrum, phối hợp với cơ quan thực thi pháp luật, đã đóng băng thành công 30.766 ETH, trị giá khoảng 71,5 triệu USD, liên kết với các địa chỉ hạ nguồn của kẻ tấn công.

Câu hỏi về cấu hình

Hậu quả của vụ việc càng trở nên phức tạp bởi những câu hỏi liên quan đến tình trạng bảo mật của LayerZero. CTO của Ripple, David Schwartz, đã nhấn mạnh một tuyên bố vào tháng 12 năm 2024 từ CEO của LayerZero, Bryan Pellegrino, người đã khẳng định rằng "0%" khối lượng của giao thức phụ thuộc hoàn toàn vào một Mạng xác thực phi tập trung (DVN) đơn lẻ. "Có điều gì đã thay đổi giữa tháng 12 năm 2024 và bây giờ không?" Schwartz đặt câu hỏi, ngụ ý rằng cuộc tấn công có thể đã không diễn ra như mô tả hoặc các tuyên bố bảo mật trước đó không chính xác. LayerZero duy trì quan điểm rằng vụ tấn công chỉ giới hạn trong thiết lập DVN đơn lẻ cụ thể của KelpDAO.

Bài viết này chỉ dành cho mục đích thông tin và không cấu thành lời khuyên đầu tư.