DeFi lại bị trộm 292 triệu USD, lần này ngay cả Aave cũng không an toàn nữa sao?

null

Bản quyền | Odaily Planet Daily (@OdailyChina)

Tác giả｜Azuma (@azuma_eth)

Giờ Bắc Kinh 4 tháng 19, an ninh DeFi lại gặp tổn thất nặng nề.

Dữ liệu trên chuỗi cho thấy, khoảng 1:35 sáng nay, hợp đồng cầu nối rsETH dựa trên LayerZero của giao thức staking thanh khoản lớn thứ hai Kelp DAO nghi bị hacker lợi dụng, thiệt hại 116.500 rsETH, trị giá khoảng 2,92 tỷ USD.

Tiếp tục truy theo ghi nhận trên chuỗi, địa chỉ tấn công trước đó khoảng 10 giờ đã nhận được 1 ETH từ giao thức trộn Tornado Cash, sau đó địa chỉ này đã gọi hàm lzReceive trên hợp đồng EndpointV2 của LayerZero, lần gọi này đã kích hoạt hợp đồng cầu nối của Kelp, chuyển 116.500 rsETH sang địa chỉ của kẻ tấn công khác.

Sau vụ việc khoảng 2 tiếng rưỡi, chính thức từ X, đội ngũ Kelp DAO xác nhận bị tấn công: “Sáng nay, chúng tôi phát hiện hoạt động liên chuỗi đáng ngờ liên quan đến rsETH. Trong quá trình điều tra, chúng tôi đã tạm dừng các hợp đồng rsETH trên mainnet và nhiều Layer2. Các chuyên gia kiểm toán của chúng tôi đang hợp tác với LayerZero, Unichain để theo dõi sát vụ việc. Chúng tôi sẽ cập nhật tình hình mới nhất, xin vui lòng theo dõi các kênh chính thức.”

Sau vụ việc, các dự án DeFi và tổ chức an ninh đã phân tích nguyên nhân. D2 Finance trong phân tích được cộng đồng nhiều lần trích dẫn — LayerZero Scan đã đánh dấu nguồn đối tác này là Kelp DAO, điều này có nghĩa thông tin này xuất phát từ hợp đồng đối tác hợp pháp của Kelp tự triển khai, và đường dẫn này đã có 308 bản ghi nonce trước đó. Do đó, nguyên nhân chính của vụ tấn công là “chìa khóa riêng của chuỗi nguồn bị xâm phạm.”

Nhà phát triển Steven Enamakel của TinyHumans AI bổ sung rằng, hợp đồng này chỉ được bảo vệ bởi một tập hợp xác thực viên 1/1 (DVN), nghĩa là chỉ cần một xác thực viên gửi một giao dịch sai, đã đủ gây ra vấn đề.

Kẻ tấn công lợi dụng Aave để trốn thoát, nghi đã gây ra nợ xấu

Vì rsETH có tính thanh khoản giao dịch hạn chế, hacker chọn chiến lược trốn thoát qua các giao thức vay mượn như Aave, thế chấp rsETH và vay WETH có tính thanh khoản cao hơn.

Cảnh báo của PeckShield cho thấy, tính đến sáng nay 4:30, địa chỉ hacker đã gửi số rsETH bị đánh cắp vào các giao thức vay như Aave V3, Compound V3, Euler, vay ra lượng lớn WETH, tổng nợ vượt quá 236 triệu USD — trong đó riêng Aave đã có nợ tới 196 triệu USD, Compound 39,4 triệu USD, Euler chỉ 84 nghìn USD.

Sau vụ việc, Aave đã ngay lập tức phong tỏa thị trường rsETH trên Aave V3 và V4, sau đó đội ngũ chính thức đăng thông báo trên X: “Hợp đồng của Aave không bị tấn công, vụ tấn công liên quan đến rsETH. Việc phong tỏa rsETH nhằm ngăn chặn các khoản gửi và thế chấp mới trong quá trình đánh giá tình hình. Chúng tôi đang xem xét các khoản vay rsETH xảy ra sau vụ tấn công trên Aave và sẽ sớm chia sẻ thêm chi tiết.”

Chỉ sau khi phát hành tuyên bố ban đầu không lâu, Aave đã cập nhật thêm, cuối cùng còn thêm câu: “Nếu hợp đồng này gây ra nợ xấu tích tụ do vụ việc này, chúng tôi sẽ tìm cách bù đắp thâm hụt.”

Tính đến thời điểm viết, chưa rõ số nợ xấu do vụ việc này gây ra là bao nhiêu.

Đối thủ cạnh tranh trực tiếp của Aave, Spark, do trưởng chiến lược monetsupply.eth cho biết, nếu rsETH bị giảm giá 19% (số bị đánh cắp chiếm 19% tổng cung rsETH), Aave có thể phát sinh hơn 1 tỷ USD nợ xấu do vòng vay cao đòn bẩy.

Tuy nhiên, nhóm quản trị tiêu biểu của hệ sinh thái Aave, Aave Chan Initiative (ACI), do Marc Zeller (đã tuyên bố sẽ rút khỏi Aave vào tháng 7 do bất đồng quản trị) đã có quan điểm khác. Zeller trong giai đoạn đầu vụ việc từng đề nghị người dùng rút WETH khỏi Aave V3 để tránh thiệt hại, xác nhận rằng thị trường USDC và USDT trên Aave không bị ảnh hưởng, và khi trả lời một người dùng về dự đoán “nợ xấu có thể lên tới hàng tỷ,” Zeller đã nói: “Thực tế nhỏ hơn nhiều so với con số đó.”

Tuy nhiên, Marc Zeller cũng đề cập rằng, đã đến lúc thử nghiệm Umbrella trong môi trường thực tế. Umbrella là mô-đun an toàn tự động của Aave, nói đơn giản là một quỹ dự phòng để đối phó nợ xấu, người dùng có thể gửi tài sản vào để nhận phần thưởng cao, nhưng khi hợp đồng gặp nợ xấu, quỹ này cũng phải gánh chịu thiệt hại tiềm năng.

Dữ liệu của hợp đồng Aave cho thấy, hiện tại Umbrella có khoảng 50 triệu USD WETH có thể dùng để đối phó nợ xấu tiềm năng từ vụ việc này, nhưng chưa rõ có đủ để lấp đầy lỗ hổng hay không.

Ảnh hưởng của vụ việc khiến AAVE giảm gần 10% trong ngắn hạn, tính đến thời điểm viết bài, còn khoảng 104,6 USDT.

Một vụ việc an ninh tỷ đô khác trong tháng Tư

Đây không phải là vụ an ninh lớn đầu tiên trong tháng này.

Vào ngày 1 tháng 4, giao thức giao dịch phái sinh trên Solana, Drift Protocol, từng bị tấn công, thiệt hại lên tới 280 triệu USD (xem chi tiết trong “Trò đùa ngày Cá tháng Tư? Drift Protocol bị trộm hơn 2,8 tỷ USD, có thể là vụ DeFi lớn thứ hai của hệ sinh thái Solana”).

Sau đó, Drift Protocol đổ lỗi cho “tin tặc Triều Tiên,” nhưng may mắn, các tổ chức như Tether đã cam kết bồi thường 147,5 triệu USD cho người dùng, ít nhất còn hy vọng đòi lại được phần nào.

Chỉ mới hơn mười ngày sau, một vụ tấn công quy mô lớn hơn lại bùng phát, lần này sẽ kết thúc thế nào?

DeFi còn nơi nào an toàn nữa không?

Vấn đề an ninh của DeFi ngày càng nghiêm trọng.

Một mặt là các vụ tấn công liên tục, mặt khác là các mối đe dọa an ninh liên tục từ AI như Mythos (xem thêm “Odaily phỏng vấn余弦: Mô hình mới cấp độ hạt nhân của Anthropic rò rỉ, ảnh hưởng thế nào đến an ninh mã hóa?”). Đối với người dùng DeFi, các biện pháp đối phó trước đây là tập trung vốn vào các hợp đồng lớn, có kiểm toán kỹ lưỡng và uy tín thương hiệu cao, nhưng giờ đây, ngay cả các hợp đồng hàng đầu như Aave, vốn ít khả năng gặp vấn đề trong tâm lý người dùng, cũng đã bị ảnh hưởng gián tiếp, vậy người dùng còn có thể chuyển tiền đi đâu?

Cá nhân tôi, hiện tại thực sự không khuyên người dùng để nhiều vốn trên chuỗi, nếu có nhu cầu, hãy chắc chắn phân tán và cách ly vị thế.

Tính đến thời điểm viết, nhiều chi tiết về vụ việc vẫn chưa rõ ràng, Odaily sẽ tiếp tục theo dõi diễn biến, xin hãy chú ý theo dõi.