2.9 tỷ USD vụ trộm ai chịu trách nhiệm? Kelp DAO đổ lỗi chửi: LayerZero "cấu hình mặc định" gây ra

Một vụ tấn công hacker trị giá 292 triệu USD không chỉ phá kỷ lục lớn nhất trong lĩnh vực DeFi năm nay mà còn gây ra một cuộc tranh cãi gay gắt trong giới tiền mã hóa về trách nhiệm đổ lỗi. Đối mặt với làn sóng chỉ trích dữ dội từ bên ngoài, Kelp DAO, một giao thức đặt lại thanh khoản, đã phát hành tuyên bố vào thứ Hai, phản bác mạnh mẽ các cáo buộc về sơ suất của họ và đổ lỗi nặng nề cho nhà cung cấp công nghệ chuỗi chéo LayerZero, kẻ bị cáo buộc đã để lỗ hổng bảo vệ bị khai thác. Nhìn lại ngày 18 tháng 4, Kelp DAO dựa trên công nghệ chuỗi chéo của LayerZero đã bị hacker tấn công cướp sạch, thiệt hại lên tới 116.500 token rsETH, trị giá khoảng 292 triệu USD, lập kỷ lục về quy mô vụ tấn công lớn nhất trong lĩnh vực DeFi từ đầu năm đến nay. Về vụ tấn công này, LayerZero đã công bố báo cáo điều tra sơ bộ vào Chủ nhật, cho rằng thủ phạm đứng sau rất có thể là nhóm hacker nổi tiếng của Bắc Triều Tiên, “Lazarus Group”. Báo cáo tiết lộ rằng, hacker đã xâm nhập vào danh sách các nút xác thực phi tập trung của LayerZero (DVN, chịu trách nhiệm xác minh tính xác thực của thông điệp chuỗi chéo) bằng cách tấn công vào 2 trong số các nút RPC, sau đó phát tán mã độc vào chúng và tiến hành tấn công từ chối dịch vụ phân tán (DDoS) vào các nút còn lại, buộc hệ thống chuyển sang các nút bị chỉnh sửa, khiến DVN nhận các thông điệp chuỗi chéo giả mạo, cuối cùng ký xác nhận một giao dịch chuyển token trái phép không được chính thức phê duyệt. Trong báo cáo, LayerZero chỉ trích Kelp DAO đã sử dụng cấu hình “DVN 1-of-1 (một nút xác thực duy nhất)” cực kỳ dễ tổn thương. LayerZero nhấn mạnh rằng, thiết kế này thiếu cơ chế xác thực độc lập, giống như đã gieo mầm cho một điểm thất bại duy nhất chết người trong hệ thống, khiến mạng không thể ngăn chặn các thông điệp chuỗi chéo giả mạo. LayerZero chỉ rõ: “Chúng tôi đã nhiều lần đề xuất với Kelp DAO rằng nên phân tán các nút DVN để nâng cao an ninh, nhưng mặc dù đã có các đề xuất này, Kelp vẫn kiên quyết sử dụng cấu hình DVN 1-of-1.” Trước cáo buộc nghiêm trọng về việc không nghe lời khuyên, Kelp DAO đã phản pháo trên nền tảng mạng xã hội X, trực tiếp chỉ trích cấu hình “DVN 1-of-1” đã gây ra thảm họa này chính là do chính LayerZero thúc đẩy. Trong tuyên bố, Kelp DAO phản bác: Cấu hình xác thực điểm đơn, rõ ràng đã được ghi rõ trong tài liệu kỹ thuật chính thức của LayerZero, vốn là “lựa chọn mặc định” khi xây dựng token đồng nhất toàn chuỗi (OFT, tiêu chuẩn token cho phép chuyển đổi liền mạch giữa các chuỗi). Từ tháng 1 năm 2024, Kelp đã vận hành dựa trên hạ tầng của LayerZero và luôn duy trì kênh liên lạc mở với đội ngũ LayerZero. Kelp DAO còn cho biết, khi ban đầu mở rộng sang Layer 2, hai bên đã thảo luận sâu về cấu hình DVN, và cấu hình nút xác thực duy nhất đã được LayerZero xác nhận là phù hợp vào thời điểm đó. “Quá trình phục hồi sự kiện chính xác, có sự đồng thuận của hai bên, mới là nền tảng để chúng ta cùng nhau đưa ra các biện pháp khắc phục đúng đắn,” Kelp DAO dùng cách chơi chữ để kêu gọi, ám chỉ rằng LayerZero không nên vội vàng đổ lỗi lúc này. Dù hai bên vẫn đang tranh cãi về trách nhiệm của lỗ hổng bảo mật, Kelp DAO nhấn mạnh rằng, nhóm đã thực hiện các biện pháp xử lý khủng hoảng quyết đoán ngay từ đầu, bao gồm tạm dừng khẩn cấp các hợp đồng thông minh liên quan và đưa toàn bộ các địa chỉ ví liên quan đến hacker vào danh sách đen, thành công kiểm soát tình hình, ngăn chặn thiệt hại lan rộng hơn.