Kelp DAO tố cáo LayerZero về cấu hình mặc định dẫn đến vụ hack trị giá $290 triệu

Cuộc xung đột xung quanh vụ hack Kelp DAO đang leo thang. Giao thức không còn đồng ý với phiên bản LayerZero, mà theo đó nguyên nhân tấn công là do cấu hình không đúng từ phía Kelp. Giờ đây, đội ngũ khẳng định ngược lại: kế hoạch bị xâm phạm không phải là ngoại lệ mà là cấu hình tiêu chuẩn mà chính LayerZero đã sử dụng như một cơ sở.
Đây là một bước ngoặt quan trọng. Câu chuyện không chỉ đơn giản là một cuộc phân tích của một vụ hack mà trở thành một cuộc tranh cãi về việc ai chịu trách nhiệm cho rủi ro kiến trúc trong hạ tầng quan trọng của DeFi.
Kelp đang tranh cãi về luận điểm chính của LayerZero.Sau cuộc tấn công, LayerZero thực sự đã thu hẹp vấn đề lại thành lựa chọn của Kelp DAO. Theo nhà cung cấp hạ tầng, giao thức đã sử dụng sơ đồ với một xác thực viên, mặc dù họ được khuyến nghị cấu hình đáng tin cậy hơn với nhiều nút xác thực.
Giờ đây, Kelp DAO đang chuẩn bị một phản hồi công khai với logic đối lập. Đội ngũ khẳng định rằng họ đã sử dụng chính cấu hình mà LayerZero đã đề xuất như một tiêu chuẩn khi kết nối. Nếu đúng như vậy, câu hỏi đã thay đổi một cách triệt để: vấn đề không còn là việc khách hàng đã phớt lờ khuyến nghị, mà là mô hình cơ bản có thể đã dễ bị tổn thương.
Trọng tâm của cuộc tranh cãi là cấu hình 1-of-1.Câu hỏi kỹ thuật chính là sơ đồ 1-of-1 DVN. Đây là mô hình, trong đó chỉ cần một xác thực viên để xác nhận thông điệp liên mạng. Cách tiếp cận này đơn giản và nhanh hơn, nhưng nó có một điểm yếu rõ ràng: một điểm xâm phạm có thể mở đường cho các giao dịch giả.
Chính sơ đồ như vậy mà LayerZero giờ đây chỉ trích sau khi sự cố đã xảy ra. Nhưng Kelp DAO khẳng định rằng cấu hình này không hề là biên hoặc bất thường. Ngược lại, nó tuân theo tài liệu, ví dụ điển hình và, theo lời đội ngũ, đã được xác nhận trong các liên hệ làm việc với LayerZero như là một tùy chọn hợp lệ.
Kelp khẳng định rằng hạ tầng LayerZero đã bị xâm phạm.Một điểm nguyên tắc khác liên quan đến chính đối tượng bị tấn công. Theo Kelp DAO, những kẻ tấn công không xâm nhập vào một xác thực viên độc lập bên ngoài, được giao thức chọn lựa theo rủi ro của riêng mình. Xác thực viên đã bị xâm phạm là xác thực viên hoạt động trên hạ tầng của chính LayerZero.
Đội ngũ khẳng định rằng những kẻ tấn công đã truy cập vào hai máy chủ của LayerZero, được sử dụng để kiểm tra tính hợp lệ của các thông điệp liên mạng. Sau đó, các nút dự phòng đã bị ngập trong lưu lượng rác, khiến hệ thống bắt đầu phụ thuộc vào chính các yếu tố đã bị nhiễm. Nếu phiên bản này được xác nhận, áp lực lên LayerZero sẽ chỉ gia tăng.
Cuộc tranh cãi không phải về lỗi, mà về trách nhiệm.Đó là lý do làm cho tình huống trở nên đặc biệt nhạy cảm. Đây không phải là một vụ hack hợp đồng thông minh cổ điển và không phải là một vụ hack các khóa riêng của đội ngũ Kelp DAO. Cuộc tranh cãi xoay quanh việc ai chịu trách nhiệm về an ninh của cấu hình mà thị trường đã coi là làm việc và thông thường.
Đối với DeFi, đây là một câu hỏi đau đớn. Hệ sinh thái thường được cấu trúc sao cho các ứng dụng phụ thuộc vào các nhà cung cấp hạ tầng, tài liệu, mẫu sẵn có và các tham số được khuyến nghị. Nếu nhà cung cấp sau đó tuyên bố rằng cấu hình đã sử dụng là sai, một cuộc khủng hoảng niềm tin rõ ràng sẽ diễn ra.
Các nhà nghiên cứu cũng nghi ngờ vị thế của LayerZero.Phía Kelp DAO cũng có một số nhà nghiên cứu tham gia. Họ chỉ ra rằng trong tài liệu công khai và ví dụ triển khai, LayerZero thực sự đã sử dụng các sơ đồ với một nguồn xác thực trên các mạng lớn. Điều này làm yếu vị thế của công ty, mà sau vụ hack đã cố gắng trình bày 1-of-1 như một lựa chọn gây tranh cãi, được thực hiện trái ngược với các khuyến nghị.
Phê bình ở đây rất đơn giản. Nếu cấu hình được xác nhận là không an toàn, nó không nên là mặc định, không nên được cung cấp trong các ví dụ và không nên được mở rộng như một tùy chọn làm việc cho các tích hợp mới. Nếu không, trách nhiệm không thể chỉ thuộc về giao thức đã sử dụng nó.
Cuộc tấn công đã ảnh hưởng đến cầu nối, chứ không phải lõi chính của Kelp.Kelp DAO nhấn mạnh rằng giao thức chính của việc tái staking không bị hack. Theo đội ngũ, sự cố chỉ giới hạn ở cấp độ cầu nối, hoạt động trên hạ tầng LayerZero. Đây là một chi tiết quan trọng cho thị trường, vì nó tách biệt cơ chế cơ bản của rsETH khỏi kênh di chuyển tài sản liên mạng.
Hơn nữa, đội ngũ khẳng định rằng việc dừng khẩn cấp các hợp đồng sau 46 phút kể từ khi xảy ra tấn công đã giúp ngăn chặn thêm hai nỗ lực rút tiền. Điều này có thể đã cứu khoảng $200 triệu trong rsETH, có thể đã bị rút ra ngoài số tiền đã bị đánh cắp. Có nghĩa là thiệt hại có thể còn lớn hơn nhiều.
LayerZero thắt chặt chính sách sau sự cố.Trong bối cảnh bê bối, LayerZero đã có một bước đi quyết liệt. Công ty tuyên bố rằng họ sẽ không còn ký thông điệp cho các ứng dụng sử dụng cấu hình với một xác thực viên. Điều này có nghĩa là buộc phải di chuyển cho tất cả các giao thức hoạt động theo mô hình đó.
Quyết định này tự nó đã gây chú ý. Nó thực sự xác nhận rằng kiến trúc với một xác thực viên không còn được coi là chấp nhận được. Nhưng đồng thời, nó làm tăng câu hỏi khó chịu: nếu sơ đồ này thực sự dễ bị tổn thương như vậy, tại sao nó lại tồn tại như một tiêu chuẩn làm việc trước vụ hack hàng trăm triệu đô la.
Đối với thị trường, đây là một đòn đánh vào danh tiếng của toàn bộ hạ tầng liên mạng.Câu chuyện về Kelp và LayerZero quan trọng không chỉ như một cuộc tranh cãi giữa hai bên. Nó ảnh hưởng đến một phân khúc rộng lớn hơn - hạ tầng liên mạng, nơi ngày càng nhiều giao thức DeFi phụ thuộc. Nếu người dùng và các đội bắt đầu nghi ngờ không chỉ về một ứng dụng cụ thể mà còn về logic cơ bản của các cây cầu, rủi ro sẽ nhanh chóng lan rộng khắp hệ sinh thái.
Điều này đặc biệt nguy hiểm trong bối cảnh những vấn đề gần đây của Aave và các giao thức liên quan khác. Một vụ hack đã gây ra hiệu ứng dây chuyền thông qua tài sản thế chấp, thanh khoản và nợ nần không thể cứu vãn. Giờ đây, một cuộc tranh cãi về việc có thể tin tưởng vào các cấu hình tiêu chuẩn của một trong những người chơi hạ tầng lớn nhất đang diễn ra.
Tiếp theo thì sao?Sự phát triển tiếp theo phụ thuộc vào việc phiên bản nào của sự kiện sẽ được xác lập trong không gian công cộng. Nếu thị trường chấp nhận lập luận của Kelp DAO rằng hạ tầng mặc định của LayerZero là dễ bị tổn thương, điều này sẽ gây tổn hại nghiêm trọng đến danh tiếng của nhà cung cấp và toàn bộ mô hình tin tưởng vào các cấu hình sẵn có của các hệ thống liên mạng.
Nếu LayerZero có thể chứng minh rằng giao thức thực sự đã lệch khỏi các khuyến nghị hoặc không triển khai độ dư thừa cần thiết, trọng tâm sẽ trở lại trách nhiệm của chính ứng dụng. Nhưng rõ ràng một điều: cuộc tranh cãi đã vượt xa khỏi một vụ hack. Nó liên quan đến câu hỏi cơ bản của DeFi về việc nơi nào kết thúc sự phi tập trung như một hình thức tiếp thị và bắt đầu trách nhiệm thực sự về kiến trúc an ninh.
#LayerZero  #KelpDAO  #defi  #Write2Earn 
$ZRO 
ZRO
--
--