LayerZero đã công bố các phát hiện chính liên quan đến vụ khai thác Kelp DAO, liên kết sự cố này với các tác nhân tấn công mạng từ Triều Tiên.
Hai ngày sau vụ khai thác Kelp DAO, sự cố DeFi lớn nhất từ đầu năm đến nay, LayerZero đã công bố phân tích kỹ thuật chính thức, đồng thời đưa ra quy kết trách nhiệm hai chiều: một phía hướng vào nhóm tấn công, phía còn lại hướng thẳng vào quyết định kiến trúc của Kelp DAO.
Theo tuyên bố của LayerZero, “các chỉ dấu ban đầu cho thấy khả năng quy kết cho một tác nhân nhà nước có trình độ rất cao, nhiều khả năng là nhóm Lazarus của Triều Tiên, cụ thể hơn là nhóm TraderTraitor”, một đơn vị tình báo mạng đã bị quy kết trong nhiều vụ tấn công tài sản mã hóa quy mô lớn trước đây. Công ty cho biết đang phối hợp với nhiều cơ quan thực thi pháp luật và tích cực truy vết dòng tiền bị đánh cắp.
Về mặt kỹ thuật, đối tượng tấn công đã giành quyền truy cập vào danh sách các nút RPC của mạng xác minh phi tập trung (DVN) do LayerZero Labs vận hành, sau đó “đầu độc” hai nút để chúng phát tán thông điệp xuyên chuỗi giả mạo, trong khi đồng thời tổ chức tấn công DDoS vào các nút còn sạch, buộc DVN phụ thuộc hoàn toàn vào các nút đã bị kiểm soát. Kết quả là 116.500 rsETH được mở khóa trái phép, trị giá 292 triệu USD tại thời điểm tấn công.
Cấu hình DVN 1/1 — lỗ hổng được cảnh báo trước nhưng không được khắc phục
Điều LayerZero nhấn mạnh mạnh nhất không phải là bản thân cuộc tấn công mà là điều kiện cho phép nó thành công: Kelp DAO vận hành với cấu hình DVN dạng 1-trong-1, tức chỉ một thực thể xác minh duy nhất mà không có cơ chế dự phòng.
Với cấu hình này, khi DVN đó bị xâm nhập, không có bên độc lập nào có thể phát hiện và từ chối thông điệp giả mạo. LayerZero xác nhận đã từng khuyến nghị Kelp DAO đa dạng hóa cấu hình DVN theo các thực hành tốt nhất của ngành, song đội ngũ dự án vẫn duy trì lựa chọn cũ.
Để ngăn ngừa tái diễn, LayerZero tuyên bố sẽ không ký xác nhận thông điệp từ bất kỳ ứng dụng nào còn sử dụng cấu hình DVN 1/1, đồng thời khẳng định các ứng dụng dùng cấu hình đa DVN không bị ảnh hưởng.
Hệ quả lan tỏa vượt xa phạm vi của Kelp DAO. Đối tượng tấn công đã chuyển rsETH sang Aave V3, dùng làm tài sản thế chấp để vay lượng lớn Wrapped Ethereum, tạo ra khoản nợ xấu khiến giao thức phải đóng băng khẩn cấp các thị trường rsETH trên cả V3 và V4.
Nhà sáng lập Aave, Stani Kulechov, xác nhận giao thức “không còn tiếp xúc rủi ro thêm với rsETH”, nhưng thiệt hại về dòng vốn đã hiện hữu: theo dữ liệu từ Aavescan, hơn 10 tỷ USD đã rút khỏi Aave kể từ sau vụ khai thác, kéo tổng giá trị cung cấp từ 45,8 tỷ USD xuống còn 35,7 tỷ USD.
Ở cấp độ toàn ngành, TVL DeFi giảm 7% trong 24 giờ, từ 99,5 tỷ USD xuống còn khoảng 86,3 tỷ USD theo DefiLlama, trong khi hàng chục giao thức lớn bao gồm Ethena, ether.fi, Curve Finance và Tron DAO đã tạm dừng phòng ngừa các cầu nối OFT của LayerZero.
“Vụ khai thác Kelp DAO là một minh chứng khác cho các điểm yếu mang tính cấu trúc trong DeFi, đặc biệt là ở hạ tầng xuyên chuỗi,” bà Min Jung, nhà nghiên cứu tại Presto Research, nhận định, cảnh báo rằng chuỗi sự cố liên tiếp đang khiến người dùng ngày càng đặt câu hỏi liệu lợi suất DeFi có còn xứng đáng với rủi ro bị khai thác hay không.
