KelpDAO, một giao thức tài chính phi tập trung, đã hứng chịu một vụ khai thác trị giá 293 triệu USD — một trong những vụ lớn nhất trong lịch sử DeFi. Cuộc tấn công báo hiệu một sự thay đổi đáng lo ngại: mối đe dọa bảo mật lớn nhất của ngành không còn chỉ là mã nguồn lỗi mà là mạng lưới chằng chịt của các hệ thống liên kết vận hành các nền tảng này.
Quy mô của cú sốc
Số tiền bị đánh cắp lên tới gần 300 triệu USD, một con số đưa vụ vi phạm này vào danh sách các vụ hack DeFi lớn nhất tính theo giá trị. Những kẻ tấn công đã rút cạn nhiều pool trong hệ sinh thái của KelpDAO, mặc dù phân tích chính xác về tài sản bị lấy đi vẫn chưa được tiết lộ. Giao thức đã tạm dừng hoạt động trong khi tiến hành điều tra.
Từ lỗi mã nguồn đến rủi ro hệ thống
Trong nhiều năm, các vụ khai thác DeFi thường xuất phát từ các lỗ hổng hợp đồng thông minh riêng lẻ — một dòng mã sai sót ở đây, một thiếu sót kiểm tra quyền ở đó. Nhưng vụ hack KelpDAO chỉ ra một loại lỗ hổng khác: sự phức tạp phát sinh từ cách các giao thức tương tác với nhau, với các oracle và với các nguồn thanh khoản bên ngoài. Theo những thông tin hạn chế hiện có, cuộc tấn công đã khai thác các phụ thuộc này thay vì một lỗi mã nguồn đơn lẻ.
Sự thay đổi đó đã âm ỉ từ lâu. Khi các hệ thống DeFi ngày càng tích hợp chặt chẽ, một lỗ hổng trong một thành phần có thể lan truyền qua nhiều thành phần khác. Vụ vi phạm KelpDAO là một ví dụ sống động về điều gì xảy ra khi sự phức tạp đó không được lập bản đồ hoặc bảo mật đầy đủ.
Điều gì đã sai
Các báo cáo hậu sự kiện công khai vẫn đang chờ xử lý. Những dấu hiệu ban đầu cho thấy những kẻ tấn công đã thao túng nguồn cấp dữ liệu giá hoặc khai thác cơ chế cho vay chéo giao thức — những kỹ thuật dựa trên việc hiểu cách các phần khác nhau của hệ thống hoạt động dưới áp lực. Đội ngũ KelpDAO chưa xác nhận vectơ tấn công, và các kiểm toán viên bảo mật đã xem xét mã nguồn trước khi ra mắt có thể đã không phát hiện ra cuộc tấn công như vậy vì nó không phải là một lỗi mã nguồn đơn giản.
Hậu quả
Người dùng của KelpDAO đang chờ đợi. Giao thức đã đóng băng các giao dịch rút tiền và đang làm việc với cơ quan thực thi pháp luật và các công ty bảo mật. Hiện chưa rõ liệu có thể thu hồi được bất kỳ khoản tiền nào không. Các vụ hack tương tự trong quá khứ đôi khi đã dẫn đến việc trả lại một phần sau các cuộc đàm phán, nhưng ở đây chưa có thông tin gì về điều đó.
Cộng đồng DeFi rộng lớn hơn đang theo dõi chặt chẽ. Nếu sự phức tạp hệ thống trở thành chuẩn mực mới cho các vụ khai thác, thì các cuộc kiểm toán mã nguồn truyền thống — vốn tập trung vào các hợp đồng riêng lẻ — sẽ không đủ. Ngành công nghiệp có thể cần áp dụng các công cụ kiểm tra sức chịu đựng và mô phỏng để mô hình hóa các tương tác giữa nhiều giao thức.
KelpDAO chưa cho biết khi nào sẽ công bố báo cáo sự cố đầy đủ. Tài liệu đó sẽ rất quan trọng để hiểu chính xác cách cuộc tấn công diễn ra — và để ngăn chặn cuộc tấn công tiếp theo.
