DeFi Rơi Vào Tình Thế Tiến Thoái Lưỡng Nan Nguy Hiểm Nhất Lịch Sử

Tác giả: Cốc Dụ, ChainCatcher

Sau hơn 40 giờ bị đánh cắp, phản ứng dây chuyền do Kelp DAO gây ra vẫn tiếp tục diễn biến phức tạp, không chỉ có ngày càng nhiều dự án nổi tiếng như Aave, LayerZero, Arbitrum bị cuốn vào, mà thậm chí còn đạt đến mức một số câu chuyện nóng hổi bị tuyên án tử hình.

KOL nổi tiếng Phong Vô Hướng trên nền tảng X cho biết, chỉ có ETH là an toàn, ARB cũng đã ủy quyền đóng băng việc chuyển tài sản của khách hàng. Không có L2 nào là L2 thực sự nữa. L2 hưng thịnh nhờ Arbitrum, cũng diệt vong vì Arbitrum.

Một KOL nổi tiếng khác là Lam Hồ cho biết, tổn thất lớn nhất trong vụ việc kelp này không phải là Aave, cũng không phải là Kelp, mà là Layerzero, chỉ là nó quá thiển cận, không nhìn thấy bản chất toàn bộ sự việc thực sự là gì. Bản chất của sự kiện này không phải là bác bỏ L2 (L2 giả thì thôi), mà là bác bỏ cầu nối chuỗi chéo.

Ngày càng nhiều quan điểm kịch liệt xuất hiện trên trường dư luận, các bên liên quan trong sự việc đều có lý lẽ riêng, đùn đẩy lẫn nhau, điều này khiến sự kiện Kelp DAO bị đánh cắp trở thành một cửa sổ điển hình để quan sát việc phân chia trách nhiệm trong sự cố an toàn, xung đột giữa chủ nghĩa thực dụng và chủ nghĩa nguyên tử kỹ thuật.

I. L0 Bị Bác Bỏ? Cầu Nối Chuỗi Chéo Thua Lỗ Nặng Nhất

Thời điểm then chốt của sự kiện là báo cáo chi tiết về cuộc tấn công của hacker do LayerZero công bố hôm qua, sơ bộ đánh giá kẻ tấn công có nền tảng từ Triều Tiên là Lazarus Group. Cuộc tấn công được thực hiện thông qua việc đầu độc cơ sở hạ tầng RPC hạ nguồn mà mạng xác minh phi tập trung (DVN) của nó phụ thuộc vào, kẻ tấn công kiểm soát một số nút RPC và phối hợp tấn công DDoS, dụ hệ thống chuyển sang các nút độc hại, từ đó giả mạo giao dịch chuỗi chéo.

“Việc sử dụng các nút bị xâm nhập để tấn công đầu độc cơ sở hạ tầng RPC, kết hợp với việc phát động tấn công DDoS vào RPC không bị ảnh hưởng để ép chuyển đổi dự phòng, thủ đoạn này vô cùng phức tạp. Về bản chất, đây là một cuộc chiến cơ sở hạ tầng.” Samuel Tse, Trưởng phòng Đầu tư và Hợp tác của Animoca Brands nhận xét.

Ở phần cuối báo cáo, LayerZero cho biết giao thức đã hoạt động hoàn toàn như dự kiến trong toàn bộ sự kiện. Không tìm thấy bất kỳ lỗ hổng nào trong giao thức. Đặc tính cốt lõi của kiến trúc LayerZero là bảo mật mô-đun, và trong trường hợp này, nó đã đạt được mục tiêu dự kiến một cách hoàn hảo, cách ly toàn bộ cuộc tấn công vào một ứng dụng duy nhất — toàn bộ hệ thống không có nguy cơ lây nhiễm, các OFT hoặc OApp khác cũng không bị ảnh hưởng.

Việc hoàn toàn thoái thác trách nhiệm này đã trở thành ngòi nổ gây ra phản ứng dư luận lớn, nhiều nhân vật nổi tiếng trong ngành không hài lòng với biểu hiện của LayerZero trong sự kiện này.

“L0 tự tách mình ra sạch sẽ, toàn bộ bài viết đổ lỗi cho KelpDAO cấu hình sai, bản thân hoàn toàn không có vấn đề gì. Tuyệt vời. Xin hỏi, tại sao cho phép cấu hình 1/1 tồn tại? Tại sao danh sách RPC nội bộ có thể bị kẻ tấn công lấy được? Tại sao logic chuyển đổi dự phòng sau DDoS lại tin tưởng ngay vào RPC bị ô nhiễm, mà không dừng xác minh trực tiếp, hoặc ít nhất làm một chút gì đó?” Nhà nghiên cứu ngành nổi tiếng CM chất vấn.

“Thái độ cố ý né tránh này khiến tôi rất khó chịu. Trong tuyên bố rõ ràng viết 'giao thức hoạt động hoàn toàn phù hợp với dự kiến'. Cuộc tấn công được mô tả là nút RPC bị tấn công và RPC bị đầu độc. Nhưng đầu độc RPC không phải như vậy, chính cơ sở hạ tầng của họ đã bị xâm nhập và phá hoại. Xét thấy tuyên bố không nói rõ việc xâm nhập xảy ra như thế nào, tôi sẽ không vội kích hoạt lại cầu nối.” Nhà phát triển DeFi nổi tiếng banteg cho biết.

Kelp DAO chính thức cũng lên tiếng, cho biết cấu hình trình xác thực đơn (1/1) dẫn đến cuộc tấn công này không phải là lựa chọn bất chấp đề xuất của họ, mà là cài đặt mặc định trong hướng dẫn chính thức của LayerZero, và mạng trình xác thực (DVN) bị kẻ tấn công lợi dụng là cơ sở hạ tầng tự có của LayerZero.

Theo phân tích của Dune, trong 2665 hợp đồng OApp dựa trên LayerZero, 47% sử dụng cấu hình DVN 1/1, tức cơ chế xác thực đơn, điều này làm rủi ro ngành mở rộng gấp bội.

Đáng sợ hơn việc xảy ra vấn đề là các bên liên quan không thừa nhận sai lầm, né tránh sai lầm. LayerZero với tư cách là người chơi số một trong truyền thông chuỗi chéo và câu chuyện Layer0, hàng trăm dự án mã hóa đang sử dụng cơ sở hạ tầng chuỗi chéo của nó để kết nối token và tài sản trên các chuỗi khác nhau, nếu tiếp tục giữ thái độ kiêu ngạo, chắc chắn sẽ tiếp tục ảnh hưởng đến sự tin tưởng của ngành dành cho nó.

Dư luận phổ biến cho rằng, LayerZero mặc dù không trực tiếp bị hack, nhưng uy tín bị tổn hại nhiều nhất — nó phải trả giá cho việc “cho phép cấu hình yếu”, nếu không câu chuyện chuỗi chéo sẽ đi đến sụp đổ.

Nói cách khác, LayerZero không chỉ cần đưa ra các biện pháp cải tiến kỹ thuật rõ ràng, mà còn cần gánh vác thêm trách nhiệm trong phương án bồi thường tài sản.

II. Layer2 Đã Chết? Việc Đóng Băng Siêu Thông Thường Của Arbitrum

Thảo luận về Layer2 đến từ hành động đóng băng của Arbitrum. Vào trưa nay, Ủy ban An ninh Arbitrum thông báo đã hành động khẩn cấp để giải cứu 30.766 ETH mà hacker lưu trữ tại địa chỉ Arbitrum One, hiện có giá trị 71 triệu USD.

Arbitrum còn cho biết, sau rất nhiều điều tra kỹ thuật và xem xét, ủy ban an ninh đã xác định và thực hiện một phương án kỹ thuật, chuyển số tiền đến địa điểm an toàn mà không ảnh hưởng đến trạng thái chuỗi khác hoặc người dùng Arbitrum. Địa chỉ ban đầu nắm giữ số tiền đã không thể truy cập các khoản tiền này, chỉ có cơ quan quản lý Arbitrum mới có thể thực hiện hành động tiếp theo để chuyển các khoản tiền này, hành động này sẽ được phối hợp với các bên liên quan.

Theo giải thích của các nhân vật trong ngành, Ủy ban An ninh Arbitrum đã sử dụng một loại giao dịch ghi đè trạng thái đặc quyền (đây là một phần của ArbOS, nhưng về cơ bản chưa bao giờ được sử dụng), khiến khóa riêng của kẻ tấn công vẫn có thể ký giao dịch, nhưng ETH của địa chỉ đó đã được chuyển đi bởi chính chuỗi.

Loại giao dịch đặc biệt này hoàn toàn bỏ qua khóa riêng của kẻ tấn công, chỉ có chính chuỗi (thông qua đường nâng cấp sequencer / ArbOS, do Ủy ban An ninh Arbitrum kiểm soát) mới có thể tiêm vào.

Được biết, Ủy ban An ninh Arbitrum gồm 12 cá nhân, họ được bầu bởi Arbitrum DAO, mọi quyết định đều cần có sự đồng ý của 9/12 người.

Một viên đá khuấy động sóng dữ. Trước đây, trong mắt bên ngoài, Arbitrum với tư cách là Layer2 tiêu biểu không có khả năng và quyền hạn xử lý tài sản ETH của người dùng, bởi điều này trái với tinh thần phi tập trung của blockchain.

Trong các vụ hacker trước đây, USDT, USDC bị hacker đánh cắp thường có thể bị Tether, Circle đóng băng ngay lập tức, để giảm thiểu tổn thất cho người dùng. ETH với tư cách là tài sản gốc của chuỗi, trong lịch sử chưa từng có tiền lệ bị chính chuỗi đóng băng và chuyển đi, cũng vượt quá phạm vi dự kiến của đại đa số người dùng.

Nhiều quan điểm ủng hộ cách làm của Arbitrum, ví dụ “tất cả công ty, ngân hàng và tổ chức tài chính chính quy cuối cùng sẽ áp dụng kiến trúc cấp hai. Hoạt động như một thực thể tập trung vào thời điểm then chốt không phải là khiếm khuyết, mà là một lợi thế.” Nhưng đối với nhiều người đam mê kỹ thuật thì không phải vậy.

“Không cần khóa riêng, không cần ủy quyền, chuyển tiền trực tiếp.” Theo nhiều quan điểm, thao tác này của Arbitrum có thể nói là đã định nghĩa lại mức độ phi tập trung của Layer2, khiến họ thiếu cảm giác an toàn trên Layer2.

Lam Hồ thẳng thắn cho rằng sự kiện này đã chạm trực tiếp vào ranh giới ý thức hệ cốt lõi của DeFi: “Not Your keys, not your coins” (Không phải khóa của bạn, không phải tiền của bạn). Sự kiện này lại trở về với bài toán kinh điển của mã hóa: an ninh chủ nghĩa thực dụng vs an ninh phi tập trung hoàn toàn.

Kết luận

Khi LayerZero nói “giao thức hoạt động hoàn toàn phù hợp với dự kiến”, nó giữ được tính đúng đắn về kỹ thuật, nhưng thua mất dư luận và sự tin tưởng; khi Arbitrum dùng giao dịch đặc quyền chuyển đi 71 triệu USD ETH, nó cứu được tiền của người dùng, nhưng giáng một đòn nặng nề vào câu chuyện phi tập trung của Layer2.

Làn sóng Kelp bị đánh cắp đẩy hai câu chuyện nóng nhất cùng lúc lên bàn xét xử: cầu nối chuỗi chéo rốt cuộc là cơ sở hạ tầng hay bộ khuếch đại rủi ro? Layer2 rốt cuộc là mở rộng đáng tin cậy của Ethereum, hay là ngân hàng cấp hai khoác áo phi tập trung?

LayerZero do cơ chế nút xác thực đơn bị đánh bại, Arbitrum sử dụng cơ chế bỏ phiếu đặc biệt tập trung hóa để thu hồi tổn thất cho LayerZero và Kelp DAO. Điều này tạo thành một vòng khép kín cực kỳ mỉa mai: một giao thức tự xưng là phi tập trung, sụp đổ vì “điểm yếu đơn lẻ” của nó; cuối cùng lại phải dựa vào “đặc quyền tập trung hóa” của một giao thức khác để kết thúc.

Nó buộc toàn ngành phải đối mặt với một câu hỏi chưa bao giờ được trả lời thẳng thắn: khi lý tưởng phi tập trung va vào cái giá an ninh thực tế, rốt cuộc chúng ta sẵn sàng hy sinh bên nào?

Thảo luận câu chuyện vĩ mô là một tiêu điểm dư luận, phương án bồi thường cho người dùng là một tiêu điểm dư luận thực tế khác. Ngay cả khi Arbitrum thu hồi được hơn 70 triệu USD thông qua biện pháp kỹ thuật, nhưng Aave vẫn còn gần 2 tỷ USD nợ xấu, lợi ích của người dùng nên được bảo vệ và bảo đảm như thế nào?

Trong hầu hết các vụ hacker, tổn thất cấp độ triệu USD đối với giao thức có thể nói là tai họa diệt vong, việc đòi bồi thường của người dùng thường không có kết quả. Nhưng sự kiện này liên quan đến các dự án sao hàng đầu như Aave, Layerzero, phương án xử lý nợ xấu của nó được chú ý.

Aave hôm nay đề xuất hai phương án xử lý nợ xấu khả thi, thứ nhất là tổn thất được phân bổ xã hội hóa giữa tất cả người nắm giữ rsETH (chia sẻ toàn chuỗi), Kelp DAO thực hiện giảm giá trị thống nhất cho tất cả rsETH (mạng chính + L2) (khoảng 15% thoát neo); thứ hai là chỉ để người nắm giữ rsETH trên L2 gánh chịu toàn bộ tổn thất, rsETH mạng chính duy trì giá trị ban đầu.

Tuy nhiên, Kelp DAO và LayerZero chính thức đến nay vẫn chưa nói về vai trò của họ trong phương án bồi thường. Từ thái độ cố gắng thoái thác trách nhiệm của LayerZero trong báo cáo không khó để nhận thấy, dự án này cho rằng không có trách nhiệm thì không có nghĩa vụ bồi thường.

Tuy nhiên, một giao thức có định giá hàng chục tỷ USD, được hàng trăm dự án xem là phụ thuộc nền tảng, khi đối mặt với tổn thất lớn do cấu hình mặc định DVN gây ra lại lựa chọn “miễn trừ trách nhiệm kỹ thuật”, bản thân điều này đã là một sự mỉa mai lớn đối với định nghĩa “cơ sở hạ tầng nền tảng”.

Đây là một tình thế tiến thoái lưỡng nan điển hình, các bên trong khủng hoảng đều đang cố gắng thông qua “cắt giảm lợi ích” để đạt được thiệt hại tối thiểu cho bản thân, thay vì cùng chia sẻ trách nhiệm để sửa chữa sự thâm hụt tin tưởng của ngành.

Xét theo tác động tiêu cực của sự kiện này đối với các bên trong ngành, đối với lĩnh vực DeFi, đây sẽ là tình thế tiến thoái lưỡng nan nguy hiểm nhất trong lịch sử.