Kelp bị trộm chuyện này, toàn là thuật ngữ kỹ thuật, dịch ra thành lời dân dã chỉ vài câu.

Làm sao bị trộm?
$RAVE ‌
Hai nút RPC do LayerZero quản lý bị hacker tấn công, nút thứ ba bị DDoS đánh sập. Kelp dùng cấu hình mặc định 1/1 DVN được LayerZero đề xuất trong tài liệu — nói đơn giản là "xác thực chữ ký đơn", chỉ cần một chìa khóa là mở được cửa. Kẻ tấn công giả mạo tin nhắn xuyên chuỗi, tạo ra 11.6 vạn rsETH, trị giá 2.92 tỷ USD. Kelp nói đây là lỗi của hạ tầng LayerZero, LayerZero nói tại sao không dùng multi-DVN, banteg nói các ông đừng giả vờ nữa, đây là rò rỉ niềm tin nội bộ.

$AAVE ‌
Aave đã nợ bao nhiêu?

Kẻ tấn công gửi rsETH bị trộm vào Aave làm tài sản thế chấp, vay được 8.2 vạn WETH. Aave đã đóng băng thị trường rsETH, nhưng nợ xấu đã tồn tại. LlamaRisk tính ra hai cách:

· Phân bổ toàn cầu: nợ xấu khoảng 1.237 tỷ USD
· Gánh riêng L2: nợ xấu khoảng 2.301 tỷ USD
$BTC ‌
0xngmi tính ra cách thứ ba: từ bỏ người giữ rsETH trên L2, thiệt hại tệ nhất là 3.41 tỷ USD, Umbrella không đủ để bù, Aave phải tự gánh.

Khoản tài sản trong quỹ Aave khoảng 1.81 tỷ USD, vượt quá khoản lỗ hơn 2 tỷ USD thật là khó.

Phản ứng dây chuyền

Lido tạm dừng gửi earnETH, Ethena kéo dài tạm dừng cầu nối xuyên chuỗi, hơn 15 giao thức đã chủ động tạm dừng cầu OFT của LayerZero.

Nói chung

Ba bên tin tưởng lẫn nhau, ai cũng nghĩ chuyện đó không xảy ra. Người giữ rsETH nghĩ Kelp đã làm kiểm soát rủi ro, Kelp nghĩ cấu hình mặc định của LayerZero an toàn, LayerZero nghĩ dự án sẽ làm multi-sign. Kết quả là 2.92 tỷ USD mất sạch, nợ xấu từ 1.2 tỷ đến 3.4 tỷ USD, tiền để vá lỗ vẫn chưa rõ lấy từ đâu. Niềm tin "phi tập trung" của DeFi — niềm tin bị chia nhỏ thành vô số phần, mỗi phần đều có người nói "không liên quan tới tôi".