DeFi rơi vào tình thế bế tắc nguy hiểm nhất trong lịch sử

作者：谷昱，ChainCatcher

Trong hơn 40 giờ sau vụ bị đánh cắp, phản ứng dây chuyền do Kelp DAO gây ra vẫn tiếp tục lên cao, không chỉ Aave, LayerZero, Arbitrum và nhiều dự án nổi tiếng khác bị kéo vào, thậm chí còn đến mức một số câu chuyện nóng bỏng bị đưa ra xét xử tử hình.

Một KOL nổi tiếng là 风无向 trên nền tảng X cho biết, chỉ còn ETH là an toàn, ARB cũng đã ủy quyền đóng băng chuyển khoản tài sản của khách hàng. Không có một L2 nào thực sự là L2 nữa rồi. L2 nổi lên từ Arbitrum, cũng chết đi từ Arbitrum.

Một KOL nổi tiếng khác là 蓝狐 thì nói rằng, thiệt hại lớn nhất trong vụ tai nạn Kelp lần này không phải Aave, cũng không phải Kelp, mà là LayerZero, chỉ là nó quá thiển cận, không nhìn thấy bản chất toàn bộ sự kiện là gì. Bản chất của vụ việc này không phải là chứng minh L2 là giả (giả L2 thì đã sao), mà là chứng minh cầu nối xuyên chuỗi là sai.

Ngày càng nhiều ý kiến gay gắt xuất hiện trên dư luận, các bên liên quan tranh cãi, đổ lỗi lẫn nhau, khiến vụ bị đánh cắp của Kelp DAO trở thành một cửa sổ điển hình để quan sát trách nhiệm về sự cố an ninh, xung đột giữa chủ nghĩa thực dụng và chủ nghĩa nguyên tắc công nghệ.

一、L0 bị chứng minh sai? Cầu nối xuyên chuỗi trở thành kẻ thua cuộc lớn nhất

Điểm mấu chốt của vụ việc là báo cáo chi tiết về cuộc tấn công của LayerZero được công bố hôm qua, sơ bộ xác định thủ phạm là nhóm Lazarus của Triều Tiên. Cuộc tấn công thực hiện bằng cách đầu độc mạng xác thực phi tập trung (DVN) phụ thuộc của họ, dựa trên hạ tầng RPC phụ, kiểm soát một số nút RPC và phối hợp tấn công DDoS, dẫn đến hệ thống chuyển sang các nút độc hại, từ đó giả mạo các giao dịch xuyên chuỗi.

“Sử dụng các nút bị xâm nhập để tấn công đầu độc hạ tầng RPC, kết hợp với tấn công DDoS nhằm buộc chuyển đổi lỗi, phương pháp này rất phức tạp. Về bản chất, đây là một cuộc chiến về hạ tầng.” Samuel Tse, Giám đốc Đầu tư và Hợp tác của Animoca Brands, nhận xét.

Trong phần cuối của báo cáo, LayerZero cho biết giao thức hoạt động hoàn toàn theo dự kiến trong toàn bộ sự kiện. Không phát hiện ra bất kỳ lỗ hổng nào trong hệ thống. Đặc điểm cốt lõi của kiến trúc LayerZero là an toàn theo mô-đun, và trong trường hợp này, nó đã hoàn hảo thực hiện mục tiêu dự kiến, cô lập toàn bộ cuộc tấn công trong một ứng dụng duy nhất — toàn bộ hệ thống không có nguy cơ lây nhiễm, các OFT hoặc OApp khác cũng không bị ảnh hưởng.

Việc hoàn toàn phủ nhận trách nhiệm của chính mình này đã trở thành nguyên nhân gây ra phản ứng dữ dội của dư luận, nhiều chuyên gia trong ngành không hài lòng với cách LayerZero xử lý vụ việc.

“L0 tự làm sạch mình, toàn bộ bài viết đổ lỗi cho sai sót cấu hình của KelpDAO, còn mình thì chẳng có vấn đề gì. Thật là tuyệt vời. Xin hỏi, tại sao lại cho phép tồn tại cấu hình 1/1? Tại sao danh sách RPC nội bộ có thể bị kẻ tấn công lấy được? Tại sao logic failover sau DDoS lại tin tưởng RPC bị nhiễm độc mà không dừng xác thực ngay lập tức, hoặc làm gì đó chút ít đi?” Nhà nghiên cứu ngành nổi tiếng CM phản hỏi.

“Thái độ cố tình né tránh này khiến tôi rất khó chịu. Trong tuyên bố rõ ràng viết ‘Giao thức hoạt động hoàn toàn theo dự kiến’. Cuộc tấn công được mô tả là các nút RPC bị tấn công và đầu độc RPC. Nhưng đầu độc RPC không phải như vậy, hạ tầng của họ đã bị xâm nhập và phá hoại. Vì tuyên bố không đề cập rõ cách thức xâm nhập xảy ra, tôi sẽ không vội vàng kích hoạt lại cầu nối.” Nhà phát triển DeFi nổi tiếng banteg nói.

Trang chính thức của Kelp DAO cũng lên tiếng, cho biết cấu hình validator đơn (1/1) gây ra vụ tấn công này không phải là lựa chọn bỏ qua khuyến nghị, mà là thiết lập mặc định trong hướng dẫn của LayerZero, và validator mạng (DVN) bị tấn công là hạ tầng riêng của LayerZero.

Theo phân tích của Dune, trong 2665 hợp đồng OApp dựa trên LayerZero, có 47% sử dụng cấu hình 1/1 DVN, tức là cơ chế xác thực đơn, khiến rủi ro ngành tăng vọt.

Điều đáng sợ hơn là khi các bên liên quan không thừa nhận lỗi, né tránh trách nhiệm. LayerZero, với vai trò là nhà cung cấp hạ tầng xuyên chuỗi và là nhân vật hàng đầu trong câu chuyện Layer0, hàng trăm dự án tiền mã hóa đang dùng hạ tầng của họ để cầu nối token và tài sản giữa các chuỗi khác nhau, nếu tiếp tục giữ thái độ kiêu ngạo, chắc chắn sẽ ảnh hưởng tiêu cực đến niềm tin của ngành.

Dư luận đều cho rằng, dù LayerZero chưa bị hack trực tiếp, nhưng danh tiếng của họ bị tổn hại lớn nhất — họ phải trả giá cho “cho phép cấu hình yếu”. Nếu không, câu chuyện xuyên chuỗi sẽ sụp đổ.

Nói cách khác, LayerZero không chỉ cần đề xuất các biện pháp kỹ thuật rõ ràng để cải thiện, mà còn phải chịu trách nhiệm nhiều hơn trong các phương án bồi thường tài sản.

二、Layer2 đã chết? Arbitrum siêu tệ trong việc đóng băng

Về phần Layer2, cuộc tranh luận bắt nguồn từ hành động đóng băng của Arbitrum. Hôm nay trưa, Ủy ban An toàn của Arbitrum đã phát hành thông báo, cho biết đã thực hiện các biện pháp khẩn cấp để giải cứu 30.766 ETH nằm trong địa chỉ của Arbitrum One, hiện trị giá khoảng 71 triệu USD.

Phía Arbitrum còn nói rằng, sau nhiều điều tra và xem xét kỹ lưỡng, ủy ban an toàn xác định và thực thi một phương án kỹ thuật, chuyển tiền đến nơi an toàn mà không ảnh hưởng đến trạng thái của các chuỗi khác hoặc người dùng Arbitrum. Địa chỉ nắm giữ ban đầu không thể truy cập vào số tiền này nữa, chỉ có cơ quan quản lý của Arbitrum mới có thể thực hiện các bước tiếp theo để chuyển tiền, và sẽ phối hợp với các bên liên quan.

Theo các chuyên gia trong ngành, ủy ban an toàn của Arbitrum đã sử dụng một loại giao dịch đặc quyền (là một phần của ArbOS, nhưng gần như chưa từng dùng), cho phép khóa bí mật của hacker vẫn có thể ký các giao dịch, nhưng ETH của địa chỉ này đã được chuyển bởi chính chuỗi.

Giao dịch đặc biệt này hoàn toàn bỏ qua khóa riêng của hacker, chỉ có chuỗi (thông qua sequencer / nâng cấp ArbOS do ủy ban Arbitrum kiểm soát) mới có thể chèn vào.

Theo thông tin, ủy ban an toàn của Arbitrum gồm 12 người, do DAO của Arbitrum bầu chọn, mọi quyết định đều cần ít nhất 9/12 phiếu đồng thuận.

Một làn sóng tranh cãi dâng trào. Trước đó, nhiều người cho rằng Arbitrum, với tư cách là Layer2 tiêu biểu, không có khả năng hoặc quyền xử lý tài sản ETH của người dùng, vì điều này trái với tinh thần phi tập trung của blockchain.

Trong các vụ tấn công trước, hacker thường có thể khóa USDT, USDC của Tether, Circle để giảm thiểu thiệt hại cho người dùng. ETH, là tài sản gốc của chuỗi, chưa từng có tiền lệ bị chính chuỗi đóng băng và chuyển đi, vượt xa mong đợi của phần lớn người dùng.

Nhiều ý kiến ủng hộ cách làm của Arbitrum, ví dụ như “Các công ty, ngân hàng và tổ chức tài chính chính thống cuối cùng đều sẽ dùng kiến trúc tầng hai. Trong những thời điểm then chốt, hoạt động như một thực thể tập trung không phải là điểm yếu, mà là lợi thế.” Nhưng đối với các kỹ thuật gia, điều này không phải vậy.

“Không cần khóa riêng, không cần ủy quyền, chuyển khoản trực tiếp.” Theo nhiều ý kiến, hành động của Arbitrum lần này đã định nghĩa lại mức độ phi tập trung của Layer2, khiến họ cảm thấy thiếu an toàn hơn trong Layer2.

蓝狐 thẳng thắn nói rằng, vụ việc lần này đã chạm thẳng vào giới hạn ý thức hệ cốt lõi của DeFi: “Not Your keys, not your coins”. Vụ việc này lại trở về câu hỏi kinh điển của tiền mã hóa: an toàn thực dụng vs an toàn hoàn toàn phi tập trung.

Kết luận

Khi LayerZero nói “Giao thức hoạt động hoàn toàn theo dự kiến”, họ giữ vững tính đúng đắn về mặt kỹ thuật, nhưng mất đi lòng tin và dư luận; khi Arbitrum dùng giao dịch đặc quyền để chuyển 71 triệu ETH, họ cứu được tài sản người dùng, nhưng lại làm tổn hại câu chuyện phi tập trung của Layer2.

Vụ bị đánh cắp của Kelp đẩy hai câu chuyện nóng nhất cùng đưa ra xử án: cầu nối xuyên chuỗi là hạ tầng hay là bộ phận làm tăng rủi ro? Layer2 cuối cùng là mở rộng đáng tin cậy của Ethereum, hay là ngân hàng cấp hai khoác áo phi tập trung?

LayerZero vì cơ chế nút xác thực đơn bị tấn công, còn Arbitrum dùng cơ chế bỏ phiếu tập trung đặc biệt để cứu vớt thiệt hại cho LayerZero và Kelp DAO. Đây tạo thành một vòng lặp bi hài: một giao thức tự xưng phi tập trung, vì “điểm yếu điểm đơn” mà sụp đổ; cuối cùng lại phải dựa vào “đặc quyền trung tâm” của một giao thức khác để kết thúc.

Nó buộc toàn ngành phải đối mặt với một câu hỏi chưa từng được trả lời rõ ràng: khi lý tưởng phi tập trung va chạm với cái giá an toàn thực tế, chúng ta sẵn sàng hy sinh bên nào?

Thảo luận về câu chuyện vĩ mô là tâm điểm dư luận, còn phương án bồi thường cho người dùng là một thực tế khác. Dù Arbitrum đã dùng công nghệ để thu hồi hơn 70 triệu USD, nhưng Aave vẫn còn gần 200 triệu USD nợ xấu, lợi ích của người dùng sẽ ra sao?

Trong hầu hết các vụ hacker, thiệt hại hàng chục triệu USD đối với giao thức là thảm họa, quyền đòi bồi thường của người dùng thường kết thúc trong vô vọng. Nhưng vụ này liên quan đến các dự án lớn như Aave, LayerZero, phương án xử lý nợ xấu lại nhận được sự chú ý đặc biệt.

Hôm nay, Aave đề xuất hai phương án xử lý nợ xấu: một là chia sẻ thiệt hại giữa tất cả chủ sở hữu rsETH (phân bổ toàn chuỗi), Kelp DAO sẽ giảm giá trị của tất cả rsETH (mainnet + L2) khoảng 15%; hai là chỉ để chủ rsETH trên L2 gánh chịu toàn bộ thiệt hại, còn mainnet rsETH giữ nguyên giá trị.

Tuy nhiên, đến nay, Kelp DAO và chính thức LayerZero vẫn chưa bàn bạc rõ ràng về vai trò của họ trong phương án bồi thường. Từ thái độ của LayerZero trong báo cáo, có thể thấy dự án này cho rằng không có trách nhiệm thì không có nghĩa vụ bồi thường.

Nhưng, một giao thức có giá trị hàng chục tỷ đô la, được hàng trăm dự án xem là nền tảng phụ thuộc, khi đối mặt với thiệt hại lớn do cấu hình DVN mặc định gây ra, lại chọn “miễn trách về mặt kỹ thuật”, chính là một sự mỉa mai lớn đối với định nghĩa “hạ tầng nền tảng”.

Đây là một dạng bẫy tù nhân điển hình, các bên trong cuộc khủng hoảng đều cố gắng tối thiểu hóa thiệt hại bằng cách “chia sẻ lợi ích”, chứ không phải cùng gánh trách nhiệm để sửa chữa niềm tin ngành.

Nhìn từ tác động tiêu cực của vụ việc này đối với các bên trong ngành, đối với lĩnh vực DeFi, đây sẽ là cuộc bẫy tù nhân nguy hiểm nhất trong lịch sử.