博链BroadChain được biết, vào lúc 19:30 ngày 22 tháng 4, lĩnh vực DeFi lại một lần nữa hứng chịu đòn nặng nề. Dự án tái stake thanh khoản Kelp DAO gần đây đã bị tấn công, thiệt hại lên tới 292 triệu USD. Sự kiện này không chỉ làm cạn kiệt kho bạc của chính dự án, mà còn thông qua tính kết hợp của DeFi gây ra phản ứng dây chuyền, dẫn đến giao thức cho vay Aave phát sinh hơn 200 triệu USD nợ xấu.
Phân tích an ninh cho thấy, kẻ tấn công không khai thác lỗ hổng hợp đồng thông minh, mà thông qua việc làm nhiễm bẩn các nút RPC cơ sở, đã truyền dữ liệu giả mạo đến giao thức cross-chain LayerZero. Tuy nhiên, điểm yếu chí mạng nằm ở việc liên kết cốt lõi của dự án sử dụng cơ chế quyền ký đơn 1/1, cho phép hacker sau khi dữ liệu bị nhiễm bẩn có thể tiến thẳng vào, chuyển một lần lượng tài sản khổng lồ. Truy vết trên chuỗi chỉ ra nhóm hacker Triều Tiên Lazarus Group, đường rửa tiền hiệu quả của họ làm nổi bật mối đe dọa từ những kẻ tấn công cấp quốc gia.
Sau khi sự kiện xảy ra, việc quy trách nhiệm rơi vào tranh cãi. Kelp DAO chỉ trích cơ sở hạ tầng của LayerZero tồn tại lỗ hổng, trong khi bên kia phản bác rằng vấn đề nằm ở việc đội ngũ dự án tin tưởng mù quáng vào dữ liệu RPC. Aave do chấp nhận tài sản của Kelp DAO làm tài sản thế chấp mà chịu thiệt hại oan uổng, mặc dù có kế hoạch sử dụng quỹ bảo vệ để bù đắp tổn thất, nhưng điều này đã phơi bày rủi ro hệ thống "một mất cả bọn" của hệ sinh thái DeFi.
Cuộc tấn công này đã khơi dậy sự suy ngẫm sâu sắc trong ngành về sự không tương xứng giữa rủi ro và lợi nhuận của DeFi. Người dùng để đuổi theo lợi suất hàng năm một con số hoặc điểm tích lũy, lại phải gánh chịu rủi ro mất toàn bộ vốn gốc. Để tranh giành tổng giá trị bị khóa (TVL), nhiều giao thức áp dụng mô hình phí thấp, thu nhập ít ỏi của họ khó có thể hỗ trợ đầu tư an ninh cần thiết để chống lại các cuộc tấn công cấp cao, tạo thành cấu trúc mong manh "lợi nhuận tư nhân hóa, rủi ro xã hội hóa".
Trước xu hướng vốn thể chế hóa gia nhập thị trường ngày càng nhanh, ngành công nghiệp bắt đầu xem xét lại giá trị của việc lưu ký tuân thủ. Tách biệt logic nghiệp vụ với việc bảo quản tài sản, để các tổ chức lưu ký chuyên nghiệp chịu trách nhiệm quản lý kho bạc, có thể ngăn chặn hiệu quả lỗi điểm đơn. Công cụ kiểm soát rủi ro ý định độc lập có thể chặn và xem xét lại các giao dịch bất thường off-chain, cung cấp sự bảo vệ cấp độ ủy thác mà mã code không thể mang lại. Điều này có lẽ sẽ trở thành cơ sở hạ tầng cần thiết để các giao thức DeFi thu hút vốn chủ đạo và đạt được sự phát triển lâu dài.