KelpDAO chỉ trích Layerzero sau vụ tấn công lừa đảo trị giá 300 triệu USD, chuyển rsETH sang Chainlink CCIP

Tranh cãi về cấu hình mạng

KelpDAO đã đưa ra phản hồi gay gắt đối với Layerzero Labs sau vụ tấn công ngày 18 tháng 4 khiến hơn $300 triệu tài sản DeFi, chủ yếu dưới dạng rsETH, bị rút cạn. Trong một tuyên bố công khai trái ngược với báo cáo sau sự cố chính thức của Layerzero, KelpDAO cáo buộc nhà cung cấp cầu nối đang "đổ lỗi cho người dùng" về sự cố hệ thống trong chính hạ tầng cốt lõi của họ.

Vụ tấn công, được xác định với độ tin cậy cao là do nhóm Lazarus thực hiện, đã dẫn đến việc đúc và phát hành tài sản giả mạo. Mặc dù KelpDAO đã chặn được thêm $100 triệu giao dịch giả mạo bằng cách tạm dừng hợp đồng, hậu quả của vụ việc đã gây ra sự thay đổi lớn trong cảnh quan DeFi. KelpDAO sau đó đã thông báo về việc chuyển đổi ngay lập tức sang Chainlink CCIP.

Tranh cãi chính nằm ở nguyên nhân của vụ vi phạm. Báo cáo sau sự cố của Layerzero mô tả vụ việc là "vấn đề cấu hình của KelpDAO", cụ thể là việc Kelp sử dụng thiết lập mạng xác thực phi tập trung (DVN) 1-of-1, trong đó Layerzero Labs là trình xác thực duy nhất. Tuy nhiên, KelpDAO đã phản pháo, trích dẫn phân tích của Dune cho thấy 47% hợp đồng OApp của Layerzero — hơn 1.200 ứng dụng — sử dụng cùng "mức bảo mật tối thiểu" DVN 1-1.

Kelp chỉ ra rằng chính hướng dẫn bắt đầu nhanh OFT và các mẫu mặc định của Layerzero cũng khuyến nghị cấu hình 1-1 với Layerzero Labs là DVN duy nhất bắt buộc. Dự án cũng chia sẻ ảnh chụp màn hình các cuộc trò chuyện trên Telegram được cho là cho thấy các thành viên đội ngũ Layerzero đảm bảo với Kelp rằng "các thiết lập mặc định là ổn" trong tám cuộc thảo luận tích hợp riêng biệt kéo dài hai năm.

Trong một bài đăng trên X nhằm làm rõ sự việc, Kelp phân tích những gì Layerzero thừa nhận và những gì họ cố tình bỏ qua trong báo cáo sau sự cố. Theo bài đăng, Layerzero thừa nhận rằng kẻ tấn công đã truy cập được danh sách các RPC mà DVN của họ sử dụng và xác nhận rằng hai nút độc lập đã bị xâm nhập và các tệp nhị phân đã bị hoán đổi. Hơn nữa, Kelp cho rằng việc Layerzero cấm cấu hình 1-1 sau vụ mất mát $300 triệu là một hình thức thừa nhận khác.

Tuy nhiên, theo Kelp, báo cáo sau sự cố đã bỏ qua việc tài liệu hướng dẫn của chính Layerzero đã khuyến khích các nhà phát triển sử dụng cấu hình 1-1 dễ bị tấn công. Báo cáo cũng không giải thích tại sao hệ thống giám sát của Layerzero lại không phát hiện được vụ tấn công, khiến Kelp phải là người phát hiện ra vấn đề.

"Sự thật đơn giản: LayerZero đổ lỗi cho người dùng về một vấn đề do chính sự cố hạ tầng của họ gây ra," KelpDAO khẳng định trong bài đăng.

Để củng cố kết luận của mình, Kelp đã trích dẫn các đánh giá độc lập chỉ ra một số lỗ hổng nghiêm trọng được cho là tồn tại vào thời điểm xảy ra vụ tấn công. Trong đó có phát hiện rằng việc triển khai mặc định đã để lộ các cổng công khai không được trang bị các biện pháp bảo mật thông thường như WAF hoặc danh sách cho phép IP. Một đánh giá của Chainalysis xác định rằng Layerzero đã thiết lập mức quorum RPC 1-1 mặc định quá thấp, nghĩa là nếu một nút bị tấn công, DVN sẽ ký vào tin nhắn giả mạo mà không kiểm tra chéo với các nút khác.

Để thể hiện sự mất niềm tin vào Layerzero, Kelp cho biết họ đang chuyển đổi rsETH từ tiêu chuẩn OFT của Layerzero sang tiêu chuẩn Cross-Chain Token (CCT) của Chainlink.

"Ưu tiên hàng đầu của chúng tôi vẫn là bảo mật tài sản của người dùng," KelpDAO nhấn mạnh, đồng thời trích dẫn thành tích bảy năm của Chainlink và mạng oracle phi tập trung an toàn của họ.