Cơ bản
Giao ngay
Giao dịch tiền điện tử một cách tự do
Giao dịch ký quỹ
Tăng lợi nhuận của bạn với đòn bẩy
Chuyển đổi và Đầu tư định kỳ
0 Fees
Giao dịch bất kể khối lượng không mất phí không trượt giá
ETF
Sản phẩm ETF có thuộc tính đòn bẩy giao dịch giao ngay không cần vay không cháy tải khoản
Giao dịch trước giờ mở cửa
Giao dịch token mới trước niêm yết
Futures
Truy cập hàng trăm hợp đồng vĩnh cửu
TradFi
Vàng
Một nền tảng cho tài sản truyền thống
Quyền chọn
Hot
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Giao dịch demo
Giới thiệu về Giao dịch hợp đồng tương lai
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Tham gia sự kiện để nhận phần thưởng
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
Launch
CandyDrop
Sưu tập kẹo để kiếm airdrop
Launchpool
Thế chấp nhanh, kiếm token mới tiềm năng
HODLer Airdrop
Nắm giữ GT và nhận được airdrop lớn miễn phí
Pre-IPOs
Mở khóa quyền truy cập đầy đủ vào các IPO cổ phiếu toàn cầu
Điểm Alpha
Giao dịch trên chuỗi và nhận airdrop
Điểm Futures
Kiếm điểm futures và nhận phần thưởng airdrop
Đầu tư
Simple Earn
Kiếm lãi từ các token nhàn rỗi
Đầu tư tự động
Đầu tư tự động một cách thường xuyên.
Sản phẩm tiền kép
Kiếm lợi nhuận từ biến động thị trường
Soft Staking
Kiếm phần thưởng với staking linh hoạt
Vay Crypto
0 Fees
Thế chấp một loại tiền điện tử để vay một loại khác
Trung tâm cho vay
Trung tâm cho vay một cửa
Khuyến mãi
AI
Gate AI
Trợ lý AI đa năng đồng hành cùng bạn
Gate AI Bot
Sử dụng Gate AI trực tiếp trong ứng dụng xã hội của bạn
GateClaw
Gate Tôm hùm xanh, mở hộp là dùng ngay
Gate for AI Agent
Hạ tầng AI, Gate MCP, Skills và CLI
Gate Skills Hub
Hơn 10.000 kỹ năng
Từ văn phòng đến giao dịch, thư viện kỹ năng một cửa giúp AI tiện lợi hơn
GateRouter
Lựa chọn thông minh từ hơn 30 mô hình AI, với 0% phí bổ sung
Lỗ hổng bảo mật làm rung chuyển toàn bộ DeFi
Tác giả: thedefinvestor Dịch: Shàn Ouba, Kim Sắc Kinh Tế
Phân tích toàn diện vụ tấn công rsETH
Tuần trước, Kelp DAO đã gặp phải một trong những vụ tấn công trộm tài sản lớn nhất trong DeFi gần đây.
Hacker lợi dụng tin nhắn xuyên chuỗi giả mạo, tấn công cầu nối rsETH do LayerZero cung cấp công nghệ hỗ trợ của Kelp DAO, tạo ra 11.65 vạn rsETH mới, trị giá khoảng 2.9 tỷ USD.
Chỉ riêng vụ tấn công đã có hậu quả nghiêm trọng, và do rsETH được liên kết chặt chẽ trong hệ sinh thái DeFi, tác động của thảm họa càng được nhân rộng. Ví dụ, rsETH từng được liệt kê là tài sản thế chấp hợp lệ trong Aave.
Sau khi hacker tạo ra rsETH giả, ngay lập tức sử dụng nó làm tài sản thế chấp vay ETH trên Aave, dẫn đến Aave phát sinh nợ xấu vượt quá 100 triệu USD.
Không chỉ Aave, phạm vi ảnh hưởng của vụ việc này rất rộng: các giao thức như Compound, kho EarnETH của Lido, một số bể vay Morpho, sản phẩm mHyperETH của Hyperithm, kho SuperWETH của Superform, và nhiều giao thức khác đều bị ảnh hưởng do sở hữu hoặc kết nối với rsETH ở mức độ khác nhau.
Trách nhiệm của vụ việc thực sự thuộc về ai?
So với các vụ tấn công trước như Drift, trách nhiệm của vụ việc lần này phức tạp hơn nhiều.
Điểm đột phá của vụ tấn công lần này là cầu nối rsETH do LayerZero vận hành, chứ không phải lỗ hổng trong hợp đồng thông minh của Kelp DAO. Hiện tại các bên đang đổ lỗi lẫn nhau: LayerZero cáo buộc Kelp DAO, còn Kelp DAO thì cho rằng trách nhiệm hoàn toàn thuộc về LayerZero.
Phân tích khách quan các sự kiện cốt lõi:
Hacker đã tấn công vào mạng lưới các nút xác thực phân tán của LayerZero (DVN), dựa vào đó để chỉnh sửa dữ liệu và thực hiện việc tạo tiền giả;
Cầu nối rsETH của Kelp DAO sử dụng cơ chế xác thực đơn (1/1 DVN), chỉ dựa vào một nút xác thực duy nhất để kiểm duyệt giao dịch, việc giả mạo giao dịch rất dễ dàng được chấp thuận;
LayerZero cáo buộc Kelp DAO chọn sử dụng xác thực đơn có độ an toàn thấp, nhưng chính LayerZero lại thừa nhận và cho phép tất cả các dự án sử dụng chế độ xác thực tối giản 1/1;
Trước khi vụ tấn công xảy ra, trong các ứng dụng phi tập trung kết nối với hạ tầng xuyên chuỗi của LayerZero, có tới 47% đang sử dụng cấu hình DVN 1/1, không chỉ riêng Kelp DAO.
Không khó để nhận thấy: LayerZero phải chịu trách nhiệm chính và cần thẳng thắn nhìn nhận các thiếu sót trong thiết kế của mình.
Lỗi của Kelp DAO nằm ở việc quá đơn giản hóa cấu hình an ninh, chỉ dùng một nút xác thực duy nhất; nếu sử dụng xác thực đa chữ ký và nhiều nút, vụ tấn công này hoàn toàn có thể bị ngăn chặn. Nhưng về cơ bản, nếu các nút RPC của LayerZero không bị tấn công, toàn bộ vụ trộm tiền này sẽ không thể xảy ra.
Tiến trình tiếp theo và phản ứng của ngành
May mắn thay, gần một phần ba tài sản bị hacker trộm đã được Arbitrum phong tỏa và thu hồi, chính thức khóa các khoản tiền liên quan của hacker.
Về mặt nguyên tắc phi tập trung, việc các dự án trên chuỗi chủ động phong tỏa tài sản còn gây tranh cãi. Nhưng trong thực tế, trong bối cảnh các mạng lớp hai vốn đã không thể hoàn toàn phi tập trung, việc chủ động cắt lỗ, bảo vệ tài sản người dùng còn ý nghĩa hơn nhiều so với việc chỉ bàn luận lý tưởng.
Trong khi đó, Aave đang đánh giá nhiều phương án khác nhau, cố gắng bù đắp khoản nợ xấu khổng lồ do vụ việc gây ra. Các tổ chức quản lý rủi ro của Aave, như LlamaRisk, đã đề xuất hai phương án xử lý chính:
Phân chia thiệt hại toàn mạng: phân bổ thiệt hại đồng đều trên tất cả các chuỗi triển khai của Aave, người cho vay ETH trên chuỗi chính Ethereum sẽ chịu 1.54% thiệt hại;
Phân tách thiệt hại: giới hạn thiệt hại trong mạng lưới lớp hai mà hacker đã sử dụng để thế chấp vay mượn rsETH, tỷ lệ mất của người cho vay ETH trên chuỗi Mantle có thể lên tới 71%.
Các số liệu tính toán trên đều là dự đoán trước khi Arbitrum phong tỏa 30,766 ETH của hacker, và thiệt hại cuối cùng thực tế có thể sẽ giảm đáng kể.
Ngoài ra, Aave không loại trừ khả năng sử dụng quỹ dự trữ để xóa nợ xấu một phần, và chính thức xác nhận đang xây dựng các phương án phục hồi và bồi thường tài sản.
Cá nhân tôi hy vọng, phương án cuối cùng sẽ tối đa hóa quyền lợi người dùng, đạt được thiệt hại bằng không hoặc rất nhỏ. Trong thời gian dài, Aave luôn là biểu tượng của các ứng dụng DeFi có lợi nhuận rủi ro thấp, nhưng vụ việc an ninh lần này đã gây tổn hại nghiêm trọng đến uy tín thương hiệu của họ.
Sau khi vụ việc lan rộng, nhiều ý kiến đã dự đoán ngành công nghiệp này sẽ suy thoái, cho rằng các giao thức hàng đầu liên tiếp gặp sự cố, DeFi đã đi đến bờ vực suy vong.
Tôi không đồng tình với quan điểm đó. Nhìn lại quá trình phát triển, ngành DeFi đã trải qua nhiều cuộc khủng hoảng lớn, nhưng luôn có khả năng sửa chữa, đổi mới và phục hồi sau mỗi lần.
DeFi sẽ không biến mất vì vậy, nhưng toàn ngành cần thẳng thắn nhìn nhận vấn đề: Trước khi theo đuổi đổi mới và lợi nhuận, việc xây dựng an toàn phải trở thành ưu tiên hàng đầu.