DeFi Lại Bị Đánh Cắp 292 Triệu USD, Liệu Aave Còn An Toàn?

Bản gốc | Odaily Planet Daily (@OdailyChina)

Tác giả | Azuma (@azuma_eth)

Vào lúc 1:35 sáng ngày 19 tháng 4 theo giờ Bắc Kinh, an ninh DeFi một lần nữa chịu tổn thất nặng nề.

Dữ liệu trên chuỗi cho thấy, vào khoảng 1:35 sáng nay, hợp đồng bridge rsETH dựa trên LayerZero của giao thức staking thanh khoản lớn thứ hai Kelp DAO được nghi ngờ là bị hacker khai thác, mất 116.500 rsETH, trị giá khoảng 292 triệu USD.

Tiếp tục truy vết các ghi chép trên chuỗi, địa chỉ của kẻ tấn công đã nhận được khoản tiền ban đầu 1 ETH từ giao thức trộn tiền Tornado Cash khoảng 10 giờ trước khi sự việc xảy ra. Sau đó, địa chỉ này đã gọi hàm lzReceive trên hợp đồng LayerZero EndpointV2, lần gọi này đã kích hoạt hợp đồng bridge của Kelp, chuyển 116.500 rsETH sang một địa chỉ tấn công khác.

Khoảng 2 tiếng rưỡi sau sự việc, Kelp DAO chính thức xác nhận trên X rằng họ đã bị tấn công: "Hôm nay, chúng tôi đã phát hiện hoạt động đa chuỗi (cross-chain) đáng ngờ liên quan đến rsETH. Trong thời gian điều tra, chúng tôi đã tạm dừng hợp đồng rsETH trên mainnet và nhiều Layer2. Kiểm toán viên của chúng tôi đang hợp tác với các chuyên gia bảo mật của LayerZero và Unichain để theo dõi sát sao vấn đề này. Chúng tôi sẽ thông báo cho bạn các cập nhật mới, hãy theo dõi các kênh chính thức."

Sau sự việc, các dự án DeFi và cơ quan an ninh khác nhau đều phân tích nguyên nhân sự kiện. Phân tích từ D2 Finance được trích dẫn nhiều lần trong cộng đồng — LayerZero Scan đánh dấu nguồn đầu bên kia là Kelp DAO, điều này có nghĩa là thông điệp này đến từ hợp đồng đầu cuối (peer contract) hợp pháp do chính Kelp triển khai và con đường này trước đây đã có 308 bản ghi nonce tin nhắn. Do đó, nguyên nhân gốc rễ của cuộc tấn công này là do "khóa private trên chuỗi nguồn bị xâm phạm".

Nhà phát triển TinyHumans AI, Steven Enamakel, bổ sung rằng hợp đồng này chỉ được đảm bảo bởi một tập hợp trình xác thực (DVN) 1/1, nghĩa là chỉ cần trình xác thực gửi một giao dịch sai là đủ để gây ra vấn đề.

Hacker dùng Aave để thoát, nghi ngờ đã tạo ra nợ xấu

Do tính thanh khoản giao dịch của chính rsETH có hạn, hacker đã chọn chiến lược thoát là thông qua các giao thức cho vay như Aave, thế chấp rsETH và vay ra wETH có tính thanh khoản giao dịch tốt hơn.

Theo giám sát của PeckShield Alert, tính đến 4:30 sáng nay, địa chỉ hacker đã gửi rsETH bị đánh cắp vào các giao thức cho vay Aave V3, Compound V3, Euler và vay ra một lượng lớn WETH, tổng nợ vượt quá 236 triệu USD — trong đó chỉ riêng nền tảng Aave đã có khoản nợ lên tới 196 triệu USD, Compound 39,4 triệu USD, Euler chỉ 840.000 USD.

Sau sự việc, Aave ngay lập tức đóng băng thị trường rsETH trên Aave V3 và V4, đội ngũ sau đó đã đăng tuyên bố chính thức trên X: "Hợp đồng của Aave không bị tấn công, cuộc tấn công này liên quan đến rsETH. Việc đóng băng rsETH là để ngăn chặn các khoản tiền gửi rsETH mới và vay thế chấp trong thời gian đánh giá tình hình. Chúng tôi đang xem xét thông tin về các khoản vay rsETH trên Aave xảy ra sau cuộc tấn công và sẽ sớm chia sẻ thêm chi tiết."

Không lâu sau khi tuyên bố ban đầu được đăng, Aave đã cập nhật động thái này, thêm vào cuối một câu: "Nếu giao thức tích lũy nợ xấu do sự kiện này, chúng tôi sẽ tìm kiếm các phương án để bù đắp thâm hụt."

Tính đến thời điểm bài viết, vẫn chưa rõ số tiền nợ xấu cụ thể do sự kiện này gây ra.

Giám đốc chiến lược của Spark, đối thủ cạnh tranh trực tiếp của Aave, monetsupply.eth, cho biết nếu rs ETH giảm giá 19% (số tiền bị đánh cắp chiếm 19% tổng nguồn cung rsETH), Aave có thể phát sinh hơn 100 triệu USD nợ xấu, do tồn tại các khoản vay vòng lặp có đòn bẩy cao.

Tuy nhiên, Marc Zeller, người sáng lập nhóm quản trị tiêu biểu của hệ sinh thái Aave, Aave Chan Initiative (ACI) (đã tuyên bố sẽ rời khỏi Aave vào tháng 7 do bất đồng về quản trị), lại đưa ra quan điểm khác. Zeller, người trong lúc sự kiện bùng nổ đã từng khuyên người dùng nên rút WETH khỏi Aave V3 càng sớm càng tốt để tránh tổn thất và xác nhận thị trường USDC và USDT trên Aave không bị ảnh hưởng, đã trả lời một người dùng khác về phỏng đoán "nợ xấu có thể lên tới hàng trăm triệu" rằng: "Nhỏ hơn nhiều so với con số đó."

Nhưng Marc Zeller cũng đề cập, đã đến lúc kiểm tra Umbrella trong môi trường thực tế. Umbrella, tức mô-đun bảo mật tự động của Aave, nói một cách đơn giản đây là một nhóm tiền để ứng phó với nợ xấu, người dùng có thể gửi tài sản vào đó để nhận ưu đãi cao, nhưng khi giao thức phát sinh nợ xấu, nhóm tiền này cũng phải chịu tổn thất tiềm tàng.

Dữ liệu giao thức Aave cho thấy, hiện tại Umbrella có tổng cộng khoảng 50 triệu USD WETH có thể được sử dụng để ứng phó với nợ xấu tiềm tàng từ sự kiện này, nhưng tạm thời chưa chắc chắn liệu có đủ để lấp đầy khoản thiếu hụt hay không.

Bị ảnh hưởng bởi sự kiện này, AAVE giảm mạnh gần 10%, tính đến thời điểm bài viết tạm báo 104,6 USDT.

Lại một sự kiện an ninh cấp trăm triệu khác trong tháng Tư

Đây không phải là sự kiện an ninh có số tiền lớn đầu tiên xảy ra trong tháng này.

Vào ngày 1 tháng 4, giao thức giao dịch phái sinh trên hệ sinh thái Solana, Drift Protocol, đã từng bị tấn công, thiệt hại lên tới 280 triệu USD (xem chi tiết "Trò đùa ngày Cá tháng Tư? Drift Protocol bị đánh cắp hơn 280 triệu USD, có thể trở thành vụ cướp DeFi lớn thứ hai trong hệ sinh thái Solana").

Sau đó, Drift Protocol thẳng thừng đổ lỗi vụ đánh cắp cho "hacker Triều Tiên", nhưng may mắn là các tổ chức như Tether đã cam kết rót 147,5 triệu USD để bồi thường cho người dùng, người dùng ít nhất đã có chút hy vọng đòi bồi thường.

Chỉ mới qua hơn mười ngày, lại một vụ hacker với quy mô lớn hơn bùng nổ, lần này kết cục sẽ ra sao?

DeFi còn nơi nào an toàn không?

Các vấn đề an ninh của DeFi đang ngày càng trở nên trầm trọng.

Một bên là các vụ hacker không ngừng, bên kia là mối đe dọa an ninh liên tục từ AI như Mythos (có thể tham khảo "Phỏng vấn Odaily với Cosine: Mô hình mới hạt nhân của Anthropic bị rò rỉ, ảnh hưởng thế nào đến công tác phòng thủ an ninh mã hóa?"). Đối với người dùng DeFi, biện pháp đối phó trước đây là cố gắng chuyển tiền vào các giao thức hàng đầu được kiểm toán đầy đủ và có uy tín thương hiệu tốt, nhưng hiện nay, ngay cả một giao thức đỉnh cao như Aave mà tiềm thức của người dùng cho là cực kỳ khó xảy ra vấn đề cũng bị ảnh hưởng gián tiếp, người dùng còn có thể chuyển tiền đến đâu?

Về cá nhân, hiện tại thực sự không khuyến nghị người dùng để lại số tiền lớn trên chuỗi, nếu thực sự có nhu cầu, hãy chắc chắn phân tán và cách ly danh mục đầu tư.

Tính đến thời điểm bài viết, nhiều chi tiết về sự kiện này vẫn chưa rõ ràng, Odaily sẽ tiếp tục theo dõi tiến triển sự kiện, hãy tiếp tục theo dõi.