Nguyên nhân của các đợt rút tiền ồ ạt:
- Thị trường bị đóng băng với $RSETH và $WETH trên Aave V3/V4 cùng nhiều giao thức khác
- Làn sóng chỉ trích LayerZero: 10 giờ sau khi bị hack, đội ngũ vẫn chỉ có thể viết: "Chúng tôi đã biết về vụ hack và đang tìm hiểu nguyên nhân"
- Các giao thức dừng hoạt động với cầu nối LayerZero OFT.
$RSETH tại hơn 20 mạng lưới đã không còn được bảo đảm.
Bình luận của Mikhail Yegorov (Curve):
Câu chuyện này bắt đầu từ LayerZero, nơi lưu trữ lượng crypto trị giá một phần tư nghìn tỷ đô la! Vậy điều gì đã xảy ra? Hãy cùng tìm hiểu.
rsETH của Kelp sử dụng cầu nối LayerZero. Cầu nối cho phép chuyển đổi rsETH sang các mạng khác và ngược lại. Chỉ có thể mint rsETH trên Ethereum, và toàn bộ rsETH trên các mạng khác đều được bảo đảm bởi mainnet-rsETH nằm trong cầu nối.
Trong LayerZero, người dùng có thể chọn cái gọi là DVN. DVN là các nút thực chất mang thông điệp từ mạng khác. Cấu hình 2-trong-3 DVN nghĩa là hai DVN phải đồng ý rằng "cấp 100.000 rsETH cho Eve" chính là yêu cầu từ mạng khác. Và đây chính là vấn đề: rsETH có cấu hình 1-trong-1 DVN—chỉ duy nhất một DVN được sử dụng và hoàn toàn tin tưởng (mặc dù đó là DVN chính của LayerZero). Vì vậy, nó đã xác nhận thông điệp cho phép hacker lấy toàn bộ rsETH từ cầu nối, dù thông điệp này chưa bao giờ được gửi đến mạng gốc (trong trường hợp này là Unichain).
Như bạn có thể đã nghe, cấu hình 1-trong-1 cho multisig là một điều không an toàn. Điều tương tự cũng xảy ra với DVN. Nhưng đây chính là DVN chính thức của LayerZero—làm sao nó có thể xác nhận một thông điệp sai lệch? Liệu nó bị hack? Hay bị lừa? Chúng ta không rõ. Nhưng mọi thứ đều có thể xảy ra khi bạn chỉ tin tưởng duy nhất một bên—dù đó là ai đi nữa.
OK, hacker đã lừa được DVN chính thức của LayerZero và lấy được rất nhiều rsETH. Tiếp theo sẽ thế nào? Điều lợi nhất cho hacker là đem rsETH thế chấp vào Aave và vay toàn bộ ETH có thể. Và Aave giờ đây còn giữ rsETH mà về cơ bản không thể bán được, cùng với số ETH đã vay tối đa, khiến không ai có thể rút ETH ra. Một khoản nợ tiềm tàng xấu khoảng 300 triệu USD. Có thể không đúng—về mặt kỹ thuật thì nó vẫn được bảo đảm—nhưng hiện tại đang diễn ra cuộc chạy đua ngân hàng trên Aave.
Vậy chúng ta có thể rút ra bài học gì từ chuyện này?
* Cho vay không cô lập như ở Aave rất rủi ro (dù nó cũng là cách hiệu quả nhất về vốn!). Aave v4 với mô hình hub-and-spoke có lẽ ít rủi ro hơn. Morpho cũng vậy. Còn cho vay trên Curve, giống như Silo, có lẽ là cách cô lập nhất → an toàn nhất trong tình huống này.
* Các giao thức cho vay rủi ro hơn so với DEX. Pool USDC/USDT trên Curve chỉ exposure tới hai tài sản trong pool, còn Aave thì exposure tới tất cả tài sản được thêm vào đó.
* Cần chú ý hơn khi onboarding tài sản vào các giao thức cho vay. Cấu hình 1-trong-1 DVN cho rsETH thực sự là một sai sót: đáng lẽ nó phải được nâng cấp lên 2-trong-2 trước khi onboarding.
* Cross-chain rất phức tạp và tiềm ẩn nguy hiểm. Chỉ sử dụng cơ sở hạ tầng cross-chain khi thật sự cần thiết, và làm điều đó THẬT CẨN THẬN.
Dù sao, tôi nghĩ DeFi sẽ rút ra bài học từ sự cố này và trở nên mạnh mẽ hơn trước. Crypto là một môi trường khắc nghiệt, nơi chẳng ngân hàng nào tồn tại nổi—nhưng chúng ta vẫn đang hoạt động trong đó. Cơ sở hạ tầng permissionless đòi hỏi những nỗ lực phi thường để đảm bảo an toàn—và chúng ta đang nỗ lực hết mình!
TVL giảm từ 26,4 tỷ USD xuống còn 19,8 tỷ USD
AAVE giảm 25% kể từ đỉnh ngày 17 tháng 4