Nhà sáng lập Cardano cảnh báo vụ hack KelpDAO phơi bày điểm yếu nhất của Ethereum blockchain

Nhà sáng lập Cardano Charles Hoskinson đã sử dụng buổi livestream mới nhất của mình để lập luận rằng vụ khai thác KelpDAO trị giá khoảng 292 triệu đô la không chỉ là một thất bại cầu nối cross-chain thông thường, mà còn là lời cảnh báo rộng hơn về cách restaking, nhắn tin Cross-chain và ngăn xếp cho vay của Ethereum có thể biến một sự xâm phạm đơn lẻ thành sự lây lan trên toàn hệ thống.

Theo lời kể của Hoskinson, cuộc tấn công ngày 18 tháng 4 đã phơi bày điều ông coi là phần dễ tổn thương nhất của DeFi hiện đại: không nhất thiết là các Hợp đồng thông minh ở cấp độ ứng dụng, mà là các lớp xác minh và sự phụ thuộc lẫn nhau nằm giữa các giao thức. Ông cho biết vụ khai thác, liên quan đến khoảng 116.500 rsETH bị rút khỏi tài khoản ký quỹ Ethereum của KelpDAO, cần buộc ngành công nghiệp có cuộc thảo luận rộng hơn về giả định tin cậy của cầu nối cross-chain, thiết kế trình xác minh và tốc độ mà tài sản thế chấp xấu có thể lan rộng qua các thị trường cho vay.

Nhà sáng lập Cardano cảnh báo về lỗ hổng nguy hiểm tại trung tâm của Ethereum DeFi

Thay vì đưa ra một phân tích hậu sự cố thông thường, Hoskinson cho biết ông đã lấy tài liệu báo cáo sự cố nội bộ và sử dụng AI để biến nó thành một trang web dẫn dắt người xem qua các cơ chế của vụ khai thác. Cấu trúc đó đã đặt nền tảng cho luận điểm lớn hơn của ông: sự thất bại, như ông mô tả, không bắt đầu từ lỗi toán học hợp đồng bên trong chính KelpDAO, cũng không phải từ một lỗ hổng kế toán rõ ràng tại LayerZero. Thay vào đó, ông cho biết nó tập trung vào một tin nhắn Cross-chain giả mạo đã được chấp nhận là hợp lệ và cho phép giải phóng tiền trên Ethereum.

"Vì vậy, đây không phải là vấn đề Hợp đồng thông minh với Kelp và đây không phải là vấn đề Hợp đồng thông minh với LayerZero, mà đây là hành vi giả mạo tin nhắn Cross-chain," Hoskinson nói. "Vì vậy đây là điều gì đó mới mẻ và khác biệt."

Nhà sáng lập Cardano liên tục quay lại một lựa chọn thiết kế cụ thể: việc sử dụng cấu hình trình xác minh một-trên-một được báo cáo. Trong giải thích của ông, phương pháp tốt nhất sẽ là mô hình đa trình xác minh như ba-trên-năm, nhưng cài đặt của KelpDAO lại dựa vào một DVN hoạt động duy nhất. Ông lập luận rằng điều đó tạo ra một điểm thất bại đơn lẻ không thể chấp nhận được trong một hệ thống đã được xếp lớp với các trình bao bọc staking, các giao thức restaking, cầu nối cross-chain và các địa điểm cho vay.

"Sự thất bại nằm ở logic xác minh, không phải logic ứng dụng," ông nói. "Kelp đã làm mọi thứ đúng từ các hợp đồng của họ. Chúng đã được kiểm toán. Chúng hoạt động tốt. Ứng dụng hoạt động tốt. Vấn đề là cấu hình cầu nối cross-chain." Hoskinson cũng nhấn mạnh rằng ngành công nghiệp vẫn thiếu một tài khoản rõ ràng về chính xác trách nhiệm nằm ở đâu.

Theo tóm tắt của ông, ba phân tích nguyên nhân gốc rễ riêng biệt đã xuất hiện sau vụ khai thác: một từ LayerZero, một từ KelpDAO và một liên quan đến các cuộc thảo luận quản trị của LlamaRisk và Aave, nhưng không ai hoàn toàn đồng ý. Điều đó để ngỏ câu hỏi liệu sự cố xảy ra ở lớp nhắn tin, cài đặt trình xác minh, logic chấp nhận của KelpDAO hay ở các điểm nối giữa chúng.

Điều khiến sự kiện đặc biệt quan trọng, theo quan điểm của ông, không chỉ là vụ trộm cắp mà còn là những gì xảy ra tiếp theo. Thay vì bán tháo rsETH bị đánh cắp trên các sàn giao dịch phi tập trung, kẻ tấn công được cho là đã sử dụng nó làm tài sản thế chấp trong các thị trường cho vay để vay thêm các tài sản thanh khoản hơn. Điều đó biến một vụ khai thác thành vấn đề bảng cân đối kế toán cho các giao thức khác, để lại những gì Hoskinson mô tả là tài sản thế chấp độc hại.

Ông gọi động lực đó là điểm mới thực sự của sự kiện. "Đây không chỉ là một vụ hack cầu nối cross-chain. Nó lan sang cho vay, từ đó tạo ra sự lây lan nợ xấu bên trong các giao thức cho vay này. Nó tạo ra một cuộc rút tiền ồ ạt và chúng tôi thấy 13 tỷ đô la Tổng giá trị bị khóa (TVL) bị rút ra trong một khoảng thời gian rất ngắn cho một vụ hack 290 triệu đô la."

Nhà sáng lập Cardano cho biết cú sốc thanh khoản DeFi rộng hơn đã vươn xa hơn nhiều so với chính KelpDAO. Trích dẫn các báo cáo công khai được tham chiếu trong phần hướng dẫn của mình, ông chỉ ra ít nhất chín giao thức bị ảnh hưởng trực tiếp và cho biết riêng Aave đã chứng kiến thiệt hại từ 6,6 tỷ đến 8,45 tỷ đô la, trong khi rsETH giao dịch trong phạm vi biến động từ khoảng 1.600 đến 2.500 đô la trong 24 giờ sau cuộc tấn công.

Ông cũng đặt ra khả năng có sự tham gia của Lazarus, mặc dù ông thừa nhận việc quy kết vẫn chưa được xác nhận. "Có rất nhiều bằng chứng ở đây cho thấy có kết nối với Lazarus," ông nói, trước khi thêm rằng không có công ty pháp y độc lập nào đã chứng minh điều đó một cách dứt khoát.

Tại thời điểm đăng bài, Cardano (ADA) giao dịch ở mức 0,2504 đô la.