Ngành tài sản mã hoá chưa hoàn hồn hết sau vụ tấn công của Drift thì lại ăn thêm một cú đấm khi dự án KelpDAO gặp vấn đề bảo mật khi phiên bản token dựa vào giao thức cầu nối LayerZero bị "in" ra hàng loạt do lỗi quản trị key. Mình đã tụ tập một số thông tin vụ này để trình bày dưới đây nhưng chưa thể xác định được hậu quả, sau đó mình sẽ có phần bình luận của mình.
KelpDAO có một sản phẩm liquid staking token là rsETH, nôm na là bạn khoá ETH vào smart contract của Kelp DAO rồi họ đem đi "thế chấp" để xác minh giao dịch cho Ethereum và nhận về phần thưởng khối + giao dịch rồi họ chia lại cho bạn. Phiên bản rsETH này còn có thể dùng trên các Layer 2 của Ethereum bằng cách là bạn khoá rsETH của bạn ở Ethereum Layer 1, họ sẽ dùng giao thức LayerZero để "in" cho bạn số lượng tương đương trên Layer 2; và ngược lại, bạn có thể "huỷ" số lượng rsETH trên Layer 2 và giao thức LayerZero sẽ trả lại số rsETH đã khoá tương đương ở Layer 1. Tuy nhiên, giao thức LayerZero có một đặc điểm là bạn phải tự thiết lập cách bảo mật thay vì giao thức ép buộc một mức độ bảo mật nhất định, vì thế KelpDAO đã thiết lập chỉ một đơn vị xác minh để "in" và "huỷ". Thế là khi đơn vị xác minh này bị Lazarus Group (đội ngũ hacker liên quan đến Bắc Hàn) tấn công (kẻ xấu đã truyền vào một yêu cầu rút mà đơn vị xác minh ký nhưng không kiểm tra), giao thức LayerZero đã mở khoá 116500 rsETH thật trên Ethereum cho kẻ xấu. Tệ hại hơn nữa là giao thức LayerZero còn không kiểm tra số lượng thanh khoản tồn tại (chỉ 49 rsETH) trên chain Layer 2 mà kẻ xấu lựa chọn. Khi cầm trong tay 116500 rsETH thật trên Ethereum, kẻ xấu rất khôn là không bán, mà đem vào các giao thức cho vay như Aave, SparkLend và cắm rsETH rồi vay ETH ra. Thế là kẻ xấu đã thoát hàng một cách nhanh chóng mà không bị trượt giá thị trường nếu phải bán số rsETH đó ra ETH. Vì thế mà Aave và một loạt các giao thức DeFi cho vay bị nợ xấu và thị trường đang nháo nhào tìm đủ cách để giải quyết. Mọi việc chưa ngã ngũ nên mọi người có thể bình tĩnh. Các giao thức đều có quỹ bảo hiểm để giải quyết nợ xấu nên chúng ta chờ tình hình tiến triển. Hiện cũng đã có các hỗ trợ để bán khoản vay trên Aave về thành ETH.
Ok, giờ bàn đến phần cốt lõi của sự việc là KelpDAO thiết lập đơn vị xác minh với mức độ bảo mật lỏng lẻo. Giao thức LayerZero cho phép những ai sử dụng tính năng cầu nối thiết lập các đơn vị xác minh. Ở đây, KelpDAO đã thiết lập chỉ duy nhất 1 đơn vị xác minh theo cấu hình 1-of-1 (tổng số người xác minh là 1 và chỉ cần 1 người xác minh), thay vì những cấu hình phức tạp hơn như 2-of-3, 5-of-9, v.v... (tăng tổng số người xác minh lên và tăng tối thiểu số người xác minh). Đơn vị xác minh này trên các tài liệu của LayerZero và trên Etherscan đều được đánh dấu là "LayerZero Labs", theo phỏng đoán có thể đây là lý do mà KelpDAO tin tưởng thiết lập vì nghĩ rằng LayerZero Labs có quy trình bảo mật tốt (có thể sử dụng MPC để chia cái ví này thành nhiều mảnh nhưng đây là thông tin chưa được xác thực). Chung quy lại vấn đề ở đây là khả năng quản trị bị kẻ xấu chiếm dụng để thực thi cuộc tấn công ở trên. Hiện tại ưu tiên là tìm cách chặn kẻ xấu tẩu tán tài sản (các trích dẫn thông báo bên dưới) và giảm thiểu nguy cơ. Rất nhiều giao thức khác đã tạm dừng hoạt động cầu nối với giao thức LayerZero trong thời điểm hiện tại để kiểm tra (như là USDT0 của Tether trích dẫn 1). Thông báo chính thức từ LayerZero ở trích dẫn 2 bên dưới về sự cố.
Ok đến đây tớ sẽ đưa phần bình luận của tớ vào. Thực sự những cuộc tấn công gần đây có vẻ nghiêng hẳn về việc khả năng quản trị bị chiếm dụng thông qua tấn công nội bộ. Ngành tài sản mã hoá đã xây dựng rất nhiều công cụ để giảm thiểu khả năng tấn công smart contract thì bây giờ kẻ xấu phát hiện ra tấn công vào những điểm yếu quản trị nó dễ dàng hơn. Căn bản vì rất nhiều doanh nghiệp có quy trình quản trị bảo mật lỏng lẻo, chưa có thái độ nghiêm túc trong việc phòng tránh, cộng với văn hoá "phải làm nhanh" để ra thị trường sớm đều là những yếu tố góp phần vào các cuộc tấn công này. Mọi người quên mất rằng các doanh nghiệp có thể tận dụng AI để tăng năng suất lao động thì kẻ xấu cũng dùng AI để tăng năng suất tấn công. Ví dụ trước đây kẻ xấu cần bỏ ra nhiều tháng để nghiên cứu thì bây giờ AI rút ngắn thời gian rất nhiều, và cho phép những kẻ xấu trình độ thấp có khả năng tấn công vượt trội hơn trước. Đã đến lúc tất cả chúng ta phải làm tốt hơn để tự bảo vệ bản thân và tất cả mọi người xung quanh. Sự cố của LayerZero và KelpDAO không chỉ làm mất tiền mà còn gây liên luỵ tới nhiều giao thức khác trong ngành nữa vì tính liên kết với nhau. Một bài học khác nữa là tớ mong các builder phải cố gắng suy nghĩ làm sao mà xây dựng những sản phẩm mà hạn chế hết mức quyền hạn con người (trust-minimized) và phân tán hết mức quyền lực (decentralize) vì hiện tại con người là mắt xích yếu nhất.