Vụ khai thác lỗ hổng trị giá 292 triệu đô la của Kelp DAO đã gây ra một làn sóng phản ứng trong toàn ngành tiền mã hóa, với việc các nhà phát triển và nhà giao dịch cảnh báo rằng sự cố này đã làm lộ ra những khiếm khuyết sâu sắc hơn trong cách xây dựng tài chính phi tập trung (DeFi).
Dữ liệu được chia sẻ bởi những người tham gia thị trường cho thấy hệ lụy tức thời đã lan rộng ra xa hơn cả giao thức bị tấn công.
"Vụ hack rsETH đang dẫn đến việc rút tiền trên tất cả các giao thức cho vay, ngay cả trên Solana và các giao thức không bị ảnh hưởng," 0xngmi cho biết trong một bài đăng vào Chủ nhật, chỉ ra dòng tiền chảy ra mạnh mẽ bao gồm "Aave: -6.200 triệu đô la (-23%) dòng tiền ròng" và những đợt sụt giảm nhỏ hơn nhưng đáng chú ý trên Morpho, Sky và JupLend. rsETH là ether đã được restake của giao thức restaking thanh khoản Kelp DAO và là một Token Restaking Thanh khoản (LRT) cho phép người dùng nhận phần thưởng staking và restaking ether trong khi vẫn giữ được tính thanh khoản cho tài sản của họ, ngay cả khi chúng đang bị khóa trong staking.
Áp lực đó nhanh chóng trở nên nghiêm trọng hơn. Một bài đăng được lan truyền rộng rãi của Josu San Martin đã mô tả tình trạng căng thẳng thanh khoản dây chuyền bên trong các thị trường cho vay: "Những người gửi tiền ETH không thể rút ETH nên họ đang vay các đồng stablecoin để 'rút' tiền... Đây là một cuộc tháo chạy hoàn toàn trên AAVE."
Trong khi Stani Kulechov, người sáng lập Aave, cho biết vụ khai thác là từ bên ngoài và các hợp đồng của giao thức không bị xâm phạm, những người gửi tiền vẫn hoảng loạn. Tổng giá trị bị khóa (hoặc tiền gửi) đã giảm từ 26,4 tỷ đô la vào ngày 18 tháng 4 xuống còn gần 20 tỷ đô la vào sáng Chủ nhật (giờ Mỹ), theo DefiLlama. Token AAVE cũng giảm hơn 18% khi những người gửi tiền tranh nhau rút tiền trong suốt cuối tuần.
Bản thân vụ khai thác đã trở thành tâm điểm chú ý của các kỹ sư và nhà phát triển.
Một số nhà phát triển đã bác bỏ những giả định ban đầu rằng vấn đề bắt nguồn từ cơ sở hạ tầng cốt lõi. "Vụ khai thác KelpDAO (~290 triệu đô la) KHÔNG phải là lỗi giao thức LayerZero. Đó là một vấn đề về cấu hình và là một bài học thực tế mà mọi dự án có token chuỗi chéo (cross-chain) cần phải xem xét ngay hôm nay," một bản phân tích kỹ thuật của cryptogoblin cho biết.
Chuỗi bài viết đã chi tiết hóa cách một điểm xác thực duy nhất đã cho phép cuộc tấn công diễn ra. "Một chữ ký và 116.500 rsETH đã xuất hiện từ hư không trên Ethereum," bài đăng cho biết, mô tả một hệ thống mà trong đó "các hợp đồng [thông minh] không bị hỏng. Lớp xác thực mới là thứ bị hỏng," bài đăng khẳng định.
Những người khác lập luận rằng vấn đề còn sâu xa hơn một lựa chọn thiết lập đơn lẻ.
Một lời chỉ trích từ tài khoản Fishy Catfish trên X đã coi đó là một lỗi thiết kế, cáo buộc rằng: "không có mức sàn bảo mật... Một cấu hình có thể là 1/1 DVN và DVN bạn chọn có thể là một nút duy nhất được vận hành bởi một thực thể duy nhất." Một DVN (Mạng lưới xác thực phi tập trung) trong DeFi, cụ thể là trong LayerZero V2, là một thực thể độc lập chịu trách nhiệm xác thực và chứng thực tính xác thực của các tin nhắn được gửi qua các mạng blockchain khác nhau. Về cơ bản, các DVN xác thực các mã băm tin nhắn giữa chuỗi nguồn và chuỗi đích.
Để làm rõ quan điểm này, tác giả đã đưa ra một so sánh thực tế: "hãy tưởng tượng nếu một nhà sản xuất tàu lượn siêu tốc cho phép các công viên giải trí tự quyết định các thông số an toàn tối thiểu là gì." Về cơ bản, tác giả chỉ