2.92 tỷ USD vụ lớn, kết quả hai bên đều đổ lỗi cho nhau, cảnh tượng này khá thú vị.

Quay trở lại ngày 18 tháng 4, Kelp DAO bị hacker tấn công rửa sạch 116.500 mã rsETH, ghi nhận vụ trộm lớn nhất trong lĩnh vực DeFi năm nay. Sau đó LayerZero phát hành báo cáo điều tra, chỉ ra rằng thủ phạm đứng sau rất có thể là nhóm Lazarus của Bắc Triều Tiên. Phương pháp của họ thực sự khá kỹ thuật — đầu tiên xâm nhập vào mạng xác thực DVN của LayerZero, tấn công vào 2 nút RPC, sau đó phát động tấn công DDoS vào các nút khác, buộc hệ thống chuyển sang các nút bị chỉnh sửa, cuối cùng ký các giao dịch chéo chuỗi giả mạo.

Nhưng ở đây bắt đầu có chuyện thú vị. Trong báo cáo, LayerZero chỉ trích nặng nề Kelp đã sử dụng cấu hình "1-of-1 DVN" cực kỳ dễ tổn thương, nói rằng đây chính là mìn nổ điểm đơn, hoàn toàn không thể ngăn chặn thông tin giả mạo. Họ còn nói đã từng đề xuất Kelp phân tán cấu hình nút, nhưng người ta vẫn không nghe.

Kelp DAO nghe vậy liền nổi giận, thứ Hai lập tức phản công. Họ nói rằng cái gọi là "cấu hình nút xác thực đơn" này hoàn toàn đã ghi trong tài liệu chính thức của LayerZero, là tùy chọn mặc định khi tạo token OFT mới. Kelp đã vận hành trên LayerZero từ tháng 1 năm 2024, hai bên luôn có liên hệ, khi mở rộng lên Layer 2 còn thảo luận riêng về chuyện này, LayerZero chính thức xác nhận rằng cấu hình này là phù hợp.

Thấy thế thì thật là ngượng ngùng. Một bên nói "Chúng tôi đã đề xuất bạn thay đổi từ lâu", bên kia lại nói "Chính bạn nói đây là cấu hình mặc định của chính thức, còn xác nhận là không vấn đề gì". Thực hư ra sao, người ngoài cũng khó mà rõ ràng.

Nhưng nói đi cũng phải nói lại, phản ứng của Kelp khá nhanh, ngay lập tức tạm dừng các hợp đồng liên quan, đưa toàn bộ ví của hacker vào danh sách đen, cuối cùng đã kiểm soát được tình hình. Hiện tại nhóm đang đánh giá các biện pháp tăng cường an ninh tiếp theo, mong sớm khôi phục hoạt động. Vụ việc này cũng nhắc nhở toàn cộng đồng rằng, cấu hình an toàn cross-chain không thể tùy tiện, cần suy nghĩ kỹ hơn.