DeFi rơi vào tình thế bế tắc của tù nhân trong lịch sử nguy hiểm nhất

作者：谷昱，ChainCatcher

Trong hơn 40 giờ kể từ khi bị đánh cắp, phản ứng dây chuyền do Kelp DAO gây ra vẫn đang tiếp tục lên men, không chỉ Aave, LayerZero, Arbitrum và nhiều dự án nổi tiếng khác ngày càng bị kéo vào, thậm chí còn đạt đến mức một số câu chuyện nóng bỏng bị đưa ra xét xử tử hình.

KOL nổi tiếng Windless trên nền tảng X cho biết, chỉ còn ETH là an toàn, ARB cũng đã ủy quyền đóng băng chuyển khoản tài sản của khách hàng. Không có một L2 nào là thật L2 nữa rồi. L2 nổi lên từ Arbitrum, cũng chết đi từ Arbitrum.

Một KOL nổi tiếng khác là Blue Fox lại cho rằng, thiệt hại lớn nhất trong vụ tai nạn Kelp lần này không phải Aave, cũng không phải Kelp, mà là LayerZero, chỉ là nó quá thiển cận, không nhìn thấy bản chất toàn bộ sự kiện là gì. Bản chất của sự kiện này không phải là chứng minh L2 là giả (giả L2 thì thôi), mà là chứng minh cầu nối xuyên chuỗi là sai.

Ngày càng nhiều ý kiến gay gắt xuất hiện trên dư luận, các bên liên quan tranh cãi, đổ lỗi lẫn nhau, khiến vụ trộm Kelp DAO trở thành một ví dụ điển hình để quan sát trách nhiệm về sự cố an ninh, xung đột giữa chủ nghĩa thực dụng và chủ nghĩa nguyên tắc công nghệ.

一、L0 bị chứng minh là sai? Cầu nối xuyên chuỗi trở thành kẻ thua cuộc lớn nhất

Điểm mấu chốt của sự kiện là báo cáo chi tiết về cuộc tấn công của LayerZero được công bố hôm qua, sơ bộ xác định thủ phạm là nhóm Lazarus có nền tảng Triều Tiên. Cuộc tấn công thực hiện bằng cách đầu độc mạng xác thực phi tập trung của họ (DVN) dựa vào hạ tầng RPC phụ thuộc, kiểm soát một số nút RPC và phối hợp tấn công DDoS, dẫn đến hệ thống chuyển sang các nút độc hại, từ đó giả mạo các giao dịch xuyên chuỗi.

“Sử dụng các nút bị xâm nhập để tấn công đầu độc hạ tầng RPC, kết hợp với tấn công DDoS vào các RPC chưa bị ảnh hưởng để buộc chuyển đổi lỗi, phương pháp này rất phức tạp. Về bản chất, đây là một cuộc chiến về hạ tầng.” Samuel Tse, trưởng bộ phận đầu tư và hợp tác của Animoca Brands, nhận xét.

Trong phần cuối của báo cáo, LayerZero cho biết giao thức hoạt động hoàn toàn theo dự kiến trong toàn bộ sự kiện. Không phát hiện ra bất kỳ lỗ hổng nào. Đặc điểm cốt lõi của kiến trúc LayerZero là an toàn theo mô-đun, và trong trường hợp này, nó đã hoàn hảo thực hiện mục tiêu dự kiến, cô lập toàn bộ cuộc tấn công trong một ứng dụng duy nhất — toàn hệ thống không có rủi ro lây nhiễm, các OFT hoặc OApp khác cũng không bị ảnh hưởng.

Việc hoàn toàn phủ nhận trách nhiệm của chính mình này trở thành nguyên nhân gây ra phản ứng dữ dội của dư luận, nhiều người trong ngành không hài lòng với cách LayerZero xử lý vụ việc.

“L0 tự làm sạch mình, toàn bộ bài viết đổ lỗi cho sai sót cấu hình của KelpDAO, còn mình thì chẳng có vấn đề gì. Thật là tuyệt vời. Xin hỏi, tại sao lại cho phép tồn tại cấu hình 1/1? Tại sao danh sách RPC nội bộ có thể bị kẻ tấn công lấy được? Tại sao logic failover sau DDoS lại tin tưởng RPC bị nhiễm độc mà không dừng xác thực ngay lập tức, hoặc làm gì đó chút ít?” Nhà nghiên cứu ngành nổi tiếng CM phản hỏi.

“Thái độ cố tình né tránh này khiến tôi rất khó chịu. Trong tuyên bố rõ ràng viết ‘Giao thức hoạt động hoàn toàn theo dự kiến’. Cuộc tấn công được mô tả là các nút RPC bị tấn công và đầu độc RPC. Nhưng đầu độc RPC không phải như vậy, hạ tầng của họ đã bị xâm nhập và phá hoại. Vì tuyên bố không đề cập rõ cách thức xâm nhập xảy ra, tôi sẽ không vội vàng kích hoạt lại cầu nối.” Nhà phát triển DeFi nổi tiếng banteg nói.

Kelp DAO cũng đã lên tiếng, cho biết việc xác thực duy nhất (1/1) dẫn đến vụ tấn công không phải là lựa chọn bỏ qua đề xuất, mà là theo hướng dẫn mặc định của LayerZero, và các xác thực bị tấn công (DVN) là hạ tầng do LayerZero tự sở hữu.

Theo phân tích của Dune, trong 2665 hợp đồng OApp dựa trên LayerZero, có 47% sử dụng cấu hình DVN 1/1, tức là cơ chế xác thực đơn, khiến rủi ro ngành tăng vọt.

Điều đáng sợ hơn cả là các bên liên quan không thừa nhận sai lầm, né tránh trách nhiệm. LayerZero, với vai trò là giao thức liên chuỗi và nhân vật chủ đạo trong câu chuyện Layer0, hàng trăm dự án tiền mã hóa đang sử dụng hạ tầng xuyên chuỗi của họ để kết nối token và tài sản các chuỗi khác nhau, nếu tiếp tục giữ thái độ kiêu ngạo, chắc chắn sẽ ảnh hưởng tiêu cực đến niềm tin của ngành.

Dư luận đều cho rằng, dù LayerZero chưa bị hacker tấn công trực tiếp, nhưng danh tiếng của họ bị tổn hại lớn nhất — họ phải trả giá cho “cho phép cấu hình yếu”. Nếu không, câu chuyện xuyên chuỗi sẽ sụp đổ.

Nói cách khác, LayerZero không chỉ cần đề xuất các biện pháp kỹ thuật rõ ràng để cải thiện, mà còn phải chịu trách nhiệm nhiều hơn trong các phương án bồi thường tài sản.

二、Layer2 đã chết? Arbitrum siêu tạm đóng băng

Về phần Layer2, cuộc tranh luận bắt nguồn từ hành động đóng băng của Arbitrum. Hôm nay trưa, Ủy ban An toàn của Arbitrum đã phát hành thông báo, cho biết đã thực hiện các biện pháp khẩn cấp để giải cứu 30.766 ETH bị hacker giữ trong địa chỉ Arbitrum One, trị giá khoảng 71 triệu USD.

Phía Arbitrum còn cho biết, sau nhiều cuộc điều tra kỹ thuật và xem xét, ủy ban an toàn xác định và thực thi một phương án kỹ thuật, chuyển tiền đến nơi an toàn mà không ảnh hưởng đến trạng thái của các chuỗi khác hoặc người dùng Arbitrum. Các địa chỉ ban đầu nắm giữ số tiền này đã không còn truy cập được, chỉ có cơ quan quản lý của Arbitrum mới có thể thực hiện các bước tiếp theo để chuyển khoản, và sẽ phối hợp với các bên liên quan.

Theo các chuyên gia, ủy ban an toàn của Arbitrum đã sử dụng một loại giao dịch đặc quyền (là một phần của ArbOS, nhưng gần như chưa từng dùng), cho phép khóa bí mật của hacker vẫn có thể ký các giao dịch, nhưng ETH trong địa chỉ đó đã được chuyển bởi chính chuỗi.

Giao dịch đặc biệt này hoàn toàn bỏ qua khóa riêng của hacker, chỉ có chuỗi (thông qua sequencer / nâng cấp ArbOS do ủy ban Arbitrum kiểm soát) mới có thể chèn vào.

Theo thông tin, ủy ban an toàn của Arbitrum gồm 12 người, do DAO của Arbitrum bầu chọn, mọi quyết định đều cần ít nhất 9/12 phiếu đồng thuận.

Một làn sóng tranh luận dấy lên. Trước đó, nhiều người cho rằng Arbitrum, với tư cách là Layer2 tiêu biểu, không có khả năng hoặc quyền xử lý tài sản ETH của người dùng, vì điều này trái với tinh thần phi tập trung của chuỗi.

Trong các vụ tấn công trước, các hacker thường có thể khóa USDT, USDC của họ ngay lập tức nhờ Tether, Circle, nhằm giảm thiểu thiệt hại cho người dùng. ETH, là tài sản gốc của chuỗi, chưa từng có tiền lệ bị chính chuỗi đóng băng và chuyển đi, vượt xa mong đợi của phần lớn người dùng.

Nhiều ý kiến ủng hộ cách làm của Arbitrum, ví dụ như “Các công ty, ngân hàng và tổ chức tài chính chính quy cuối cùng đều sẽ dùng kiến trúc cấp hai. Trong thời điểm then chốt, hoạt động như một thực thể tập trung không phải là điểm yếu, mà là lợi thế.” Nhưng đối với các kỹ thuật gia, điều này không phải vậy.

“Không cần khóa riêng, không cần ủy quyền, chuyển khoản trực tiếp.” Theo nhiều ý kiến, hành động của Arbitrum lần này đã định nghĩa lại mức độ phi tập trung của Layer2, khiến họ cảm thấy thiếu an toàn hơn.

Blue Fox thẳng thắn nói, vụ việc lần này đã chạm thẳng vào ý thức hệ cốt lõi của DeFi: “Not Your keys, not your coins”. Vụ việc này lại trở về câu chuyện cổ điển của tiền mã hóa: an toàn thực dụng đối lập với an toàn hoàn toàn phi tập trung.

Kết luận

Khi LayerZero nói “Giao thức hoạt động hoàn toàn theo dự kiến”, họ giữ vững tính đúng kỹ thuật nhưng mất lòng tin và dư luận; khi Arbitrum dùng giao dịch đặc quyền để chuyển 71 triệu ETH, họ cứu được tài sản người dùng nhưng làm tổn hại câu chuyện phi tập trung của Layer2.

Vụ trộm Kelp đẩy hai câu chuyện nóng nhất lên bàn xử: Cầu nối xuyên chuỗi là hạ tầng hay là bộ phận tăng rủi ro? Layer2 là mở rộng đáng tin cậy của Ethereum hay là ngân hàng cấp hai khoác áo phi tập trung?

LayerZero vì cơ chế xác thực đơn điểm bị tấn công, Arbitrum dùng cơ chế bỏ phiếu tập trung đặc biệt để cứu vớt thiệt hại của LayerZero và Kelp DAO. Đây là một vòng lặp bi hài cực kỳ, một giao thức tự xưng phi tập trung lại sụp đổ vì “điểm yếu đơn điểm”; cuối cùng lại phải dựa vào “đặc quyền tập trung” của một giao thức khác để kết thúc.

Nó buộc toàn ngành phải đối mặt với một câu hỏi chưa từng được trả lời rõ ràng: Khi lý tưởng phi tập trung va chạm với cái giá an toàn thực tế, chúng ta sẵn sàng hy sinh bên nào?

Thảo luận về câu chuyện vĩ mô là tâm điểm dư luận, còn phương án bồi thường cho người dùng là một thực tế khác. Dù Arbitrum đã dùng công nghệ để thu hồi hơn 70 triệu USD, nhưng Aave vẫn còn gần 200 triệu USD nợ xấu, lợi ích của người dùng sẽ ra sao?

Trong hầu hết các vụ hacker, thiệt hại hàng chục triệu USD đối với giao thức là thảm họa, quyền đòi bồi thường của người dùng thường kết thúc trong vô vọng. Nhưng vụ này liên quan đến các dự án hàng đầu như Aave, LayerZero, phương án xử lý nợ xấu lại thu hút sự chú ý đặc biệt.

Hôm nay, Aave đề xuất hai phương án xử lý nợ xấu, một là chia sẻ thiệt hại giữa tất cả chủ sở hữu rsETH (phân bổ toàn chuỗi), Kelp DAO sẽ giảm giá trị tất cả rsETH (mainnet + L2) khoảng 15%; hai là chỉ để chủ sở hữu rsETH trên L2 gánh chịu toàn bộ thiệt hại, còn mainnet giữ nguyên giá trị.

Tuy nhiên, đến nay, Kelp DAO và chính thức LayerZero vẫn chưa bàn bạc rõ vai trò của họ trong phương án bồi thường. Từ thái độ của LayerZero trong báo cáo, có thể thấy dự án này cho rằng không có trách nhiệm thì không có nghĩa vụ bồi thường.

Nhưng, một giao thức có giá trị hàng chục tỷ đô la, được hàng trăm dự án xem là nền tảng phụ thuộc, lại chọn “miễn trách nhiệm về mặt kỹ thuật” khi đối mặt với thiệt hại lớn do cấu hình DVN mặc định gây ra, chính là một sự mỉa mai lớn về định nghĩa “hạ tầng nền tảng”.

Đây là một dạng bẫy tù nhân điển hình, các bên trong cuộc khủng hoảng đều cố gắng tối thiểu hóa thiệt hại bằng cách “chia sẻ lợi ích”, chứ không phải cùng gánh trách nhiệm để sửa chữa niềm tin ngành.

Nhìn vào tác động tiêu cực của sự kiện này đối với các bên trong ngành, đối với lĩnh vực DeFi, đây sẽ là cuộc bẫy tù nhân nguy hiểm nhất trong lịch sử.