KelpDAO Đổ Lỗi cho LayerZero về Vụ Khai Thác 292 Triệu USD
KelpDAO đang đổ lỗi cho LayerZero về một vụ khai thác trị giá 292 triệu USD và có kế hoạch ra mắt lại với một hệ thống liên chuỗi được thiết kế lại trên Chainlink, theo thông báo của nhóm này trên X vào thứ Ba.
“Từ sự cố ngày 18 tháng 4, rõ ràng là cơ sở hạ tầng của LayerZero đã bị khai thác, dẫn đến thiệt hại 300 triệu USD trong lĩnh vực DeFi,” KelpDAO viết trên X.
Các báo cáo độc lập từ SEAL 911, Chainalysis và các nhà nghiên cứu bảo mật hàng đầu khác đều chỉ ra cùng một nguồn gốc. Vào tháng 4, một cuộc tấn công đã rút khoảng 116,500 rsETH—một token staking dựa trên Ethereum—từ một cầu nối liên chuỗi mà Kelp sử dụng, cho phép người dùng staking Ethereum và di chuyển token giữa các blockchain. Vụ khai thác đã được liên kết với Nhóm Lazarus của Bắc Triều Tiên.
Chi Tiết Về Vụ Khai Thác
Trong một bài đăng riêng trên X, Kelp cho biết nhân viên của LayerZero đã phê duyệt cấu hình liên quan đến vụ khai thác mà không cảnh báo rằng nó có thể gây ra rủi ro bảo mật. Cấu hình này, được biết đến với tên gọi xác thực 1-1, dựa vào một thực thể duy nhất để xác thực các giao dịch liên chuỗi.
Kelp cho biết cuộc tấn công xuất phát từ một lỗ hổng trong cơ sở hạ tầng của LayerZero, nơi các kẻ tấn công đã xâm nhập vào các nút RPC của mạng xác thực và buộc hệ thống phải dựa vào dữ liệu bị giả mạo, cho phép các giao dịch giả được phê duyệt.
“Sau vụ khai thác, LayerZero đã thông báo rằng họ sẽ không còn ký hoặc xác nhận tin nhắn cho bất kỳ ứng dụng nào sử dụng cấu hình DVN 1-1,” Kelp viết.
“Sự thay đổi chính sách đó, được thực hiện sau khi hàng trăm triệu USD bị khai thác, xác nhận rằng đây là một cấu hình LayerZero được sử dụng rộng rãi mà LayerZero Labs chỉ thay đổi sau khi nó thất bại.”
Phản Ứng từ LayerZero
Trong một tuyên bố vào tháng 4, LayerZero đã phản bác lại tài khoản đó, nói rằng vụ khai thác chỉ giới hạn trong ứng dụng rsETH của Kelp và là kết quả từ việc sử dụng cấu hình xác thực đơn mà đi ngược lại mô hình xác thực đa mà công ty khuyến nghị.
“Cách diễn đạt đó không phù hợp với sự thật,” KelpDAO viết. “Đó là một vấn đề thuộc về miền công cộng rằng cấu hình 1-1 này không phải là duy nhất đối với Kelp.”
Theo Kelp, họ đã tuân theo tài liệu và cấu hình mặc định của LayerZero. Công ty cũng cho biết cấu hình này được sử dụng rộng rãi trong hệ sinh thái, chỉ ra dữ liệu cho thấy một phần lớn các ứng dụng dựa vào các cấu hình tương tự.
Chuyển Đổi Sang Chainlink
Kelp cho biết họ đang chuyển hệ thống rsETH của mình sang giao thức tương tác liên chuỗi của Chainlink, nơi các giao dịch phải được phê duyệt bởi nhiều xác thực độc lập thay vì một xác thực duy nhất.
“Chúng tôi cam kết làm việc với đội ngũ KelpDAO để cải thiện bảo mật liên chuỗi của rsETH và hỗ trợ việc di chuyển của họ sang Chainlink CCIP,” Giám đốc Kinh doanh của Chainlink, Johann Eid, nói với Decrypt.
“Chúng tôi từ lâu đã tin rằng để DeFi đạt được tiềm năng đầy đủ của nó trong việc đưa hàng triệu tỷ vào chuỗi, hệ sinh thái cần được hỗ trợ bởi cơ sở hạ tầng cực kỳ an toàn.”
Tác Động và Cuộc Chiến Pháp Lý
Tác động của vụ khai thác Kelp đã vượt ra ngoài tranh chấp kỹ thuật. Khoảng 71 triệu USD tiền điện tử liên quan đến vụ khai thác đã bị đóng băng trên mạng Arbitrum, dẫn đến một cuộc chiến pháp lý tại một tòa án liên bang ở New York.
“Có những câu hỏi mà hệ sinh thái xứng đáng nhận được câu trả lời,” KelpDAO viết. “Và chúng tôi đang đảm bảo rằng rsETH được bảo vệ bởi cơ sở hạ tầng không để lại những câu hỏi này mở.”
LayerZero đã không ngay lập tức phản hồi yêu cầu bình luận từ Decrypt.
