Kelp cáo buộc LayerZero gây ra vụ hack 292 triệu USD, chuyển hệ thống sang Chainlink

KelpDAO đã công khai cáo buộc LayerZero chịu trách nhiệm cho vụ khai thác trị giá 292 triệu USD xảy ra vào tháng 4, đồng thời thông báo sẽ tái triển khai hệ thống liên chuỗi của mình trên nền tảng Chainlink, một quyết định được đưa ra trong bối cảnh cuộc tranh cãi kỹ thuật leo thang thành vụ kiện tụng liên bang trị giá 71 triệu USD.

Theo Kelp, cuộc tấn công bắt nguồn từ việc các đối tượng xấu kiểm soát các nút RPC trong mạng xác thực của LayerZero, từ đó buộc hệ thống phải dựa vào dữ liệu đã bị chỉnh sửa và cho phép các giao dịch giả mạo được phê duyệt. Kết quả là khoảng 116.500 rsETH, token staking trên Ethereum, đã bị rút ra khỏi cầu nối liên chuỗi. 

Vụ khai thác được cho là có liên hệ với Lazarus Group của Triều Tiên. Kelp dẫn báo cáo độc lập từ SEAL 911, Chainalysis và nhiều nhà nghiên cứu an ninh để củng cố lập luận rằng hạ tầng riêng của LayerZero, chứ không phải cấu hình phía Kelp, là điểm khởi phát.

Tranh cãi quanh cấu hình xác thực 1-trên-1

Điểm mấu chốt của tranh chấp là thiết lập được gọi là bộ xác thực 1-trên-1, nơi chỉ một thực thể duy nhất có quyền xác thực toàn bộ giao dịch liên chuỗi. Kelp khẳng định cấu hình này được nhân sự LayerZero phê duyệt trực tiếp mà không có cảnh báo về rủi ro bảo mật, đồng thời dẫn dữ liệu cho thấy cấu hình tương tự được sử dụng rộng rãi trên toàn hệ sinh thái LayerZero, chứ không phải đặc thù riêng của mình. 

Kelp cũng lưu ý rằng sau vụ khai thác, LayerZero đã thông báo ngừng ký xác nhận thông điệp cho bất kỳ ứng dụng nào vẫn sử dụng cấu hình DVN 1-1, động thái mà Kelp cho là bằng chứng gián tiếp thừa nhận lỗ hổng hệ thống.

LayerZero phản bác, cho rằng vụ khai thác chỉ giới hạn trong ứng dụng rsETH của Kelp và bắt nguồn từ việc Kelp tự chọn mô hình xác thực đơn, trái với khuyến nghị đa xác thực của công ty. Tuy nhiên, LayerZero chưa đưa ra phản hồi chính thức trước các cáo buộc mới nhất.

Hệ quả pháp lý của vụ việc đang ngày càng phức tạp. Khoảng 71 triệu USD tài sản mã hóa liên quan đã bị đóng băng trên mạng Arbitrum và kéo theo một vụ kiện tại tòa án liên bang New York, đưa tranh cãi kỹ thuật vốn thường diễn ra trong không gian mã nguồn mở vào hệ thống tư pháp truyền thống. Đây là diễn biến hiếm gặp trong ngành DeFi, nơi phần lớn tranh chấp vẫn được xử lý nội bộ hoặc thông qua các cơ chế quản trị phi tập trung.

Để ứng phó, Kelp cho biết đang chuyển toàn bộ hệ thống rsETH sang giao thức tương tác liên chuỗi (CCIP) của Chainlink, nơi các giao dịch phải được phê duyệt bởi nhiều trình xác thực độc lập. Johann Eid, Giám đốc kinh doanh của Chainlink, xác nhận cam kết hỗ trợ quá trình chuyển đổi và nhấn mạnh rằng hạ tầng bảo mật cao là điều kiện tiên quyết để DeFi có thể đưa hàng nghìn tỷ USD tài sản lên chuỗi. 

Quyết định của Kelp phản ánh xu hướng ngày càng rõ nét trong ngành: sau mỗi sự cố lớn, niềm tin không còn đặt vào lời hứa bảo mật, mà vào kiến trúc hệ thống có thể kiểm chứng độc lập.

Nguồn: phocapblockchain.net