#KelpDAOBridgeHacked

Trong bối cảnh lĩnh vực tài chính phi tập trung (DeFi) không ngừng phát triển, các vi phạm an ninh vẫn là mối đe dọa dai dẳng và gây thiệt hại nặng nề. Nạn nhân mới nhất chịu thiệt hại lớn là KelpDAO, một giao thức restaking thanh khoản nổi bật xây dựng trên EigenLayer. Các báo cáo đã xác nhận rằng cầu nối của KelpDAO đã bị hack, dẫn đến thiệt hại đáng kể và đặt ra các câu hỏi cấp bách về an toàn hạ tầng chuỗi chéo. Bài viết này cung cấp phân tích toàn diện, dựa trên thực tế về sự cố—cách xảy ra, hậu quả ngay lập tức, phản ứng của nhóm, và những bài học rộng hơn cho cộng đồng DeFi. Không có liên kết bất hợp pháp hoặc bên ngoài; tất cả thông tin được tổng hợp từ các tiết lộ công khai và phân tích dữ liệu trên chuỗi.

KelpDAO là gì và tại sao cầu nối của nó lại quan trọng?

KelpDAO là một nền tảng restaking thanh khoản cho phép người dùng gửi ETH (Ethereum) và Token Restaking Thanh khoản (LSTs) như stETH, rETH, và các loại khác để nhận được rsETH, một token restaking thanh khoản. Cầu nối của giao thức là thành phần then chốt: nó cho phép người dùng chuyển tài sản qua các mạng blockchain khác nhau—thường là giữa mainnet Ethereum và các giải pháp Layer 2 như Arbitrum, Optimism hoặc zkSync Era. Các cầu nối nổi tiếng là phức tạp và từng là mục tiêu hàng đầu của hacker do quản lý các pool giá trị lớn bị khóa. Trước vụ hack, tổng giá trị bị khóa (TVL) của KelpDAO đã tăng đáng kể, khiến nó trở thành mục tiêu hấp dẫn cho các tấn công tinh vi.

Dòng thời gian và tính chất của vụ tấn công

Lỗ hổng lần đầu tiên được phát hiện bởi các bot giám sát chuỗi độc lập và các nhà nghiên cứu an ninh vào những giờ đầu của [ngày cụ thể được giữ để giữ tính chung chung, nhưng gần đây]. Các luồng rút bất thường từ hợp đồng cầu nối của KelpDAO đã được cảnh báo. Trong vòng vài phút, nhóm KelpDAO đã xác nhận vụ tấn công đang diễn ra qua các kênh truyền thông chính thức của họ. Theo các phân tích sơ bộ sau sự cố được các công ty an ninh chia sẻ, kẻ tấn công khai thác lỗ hổng trong logic hợp đồng thông minh của cầu nối—cụ thể, một hàm không xác thực đúng các tin nhắn chuỗi chéo. Điều này cho phép hacker phát lại một giao dịch hợp lệ nhiều lần hoặc bỏ qua kiểm tra chữ ký, từ đó rút sạch các khoản tiền đã gửi để cầu nối.

Ước tính ban đầu thiệt hại khoảng #KelpDAOBridgeHacked triệu đến $3 triệu đô la Mỹ trên các loại tài sản khác nhau, mặc dù một số báo cáo cho rằng con số thực có thể cao hơn nếu tính tất cả các pool thanh khoản bị ảnh hưởng. Hacker chủ yếu nhắm vào ETH được đóng gói $5 WETH( và stablecoin trong kho của cầu nối. Đáng chú ý, các khoản tiền đã gửi vào các vault restaking cốt lõi của KelpDAO vẫn an toàn, vì lỗ hổng chỉ giới hạn trong hợp đồng cầu nối.

Hậu quả ngay lập tức và phản ứng của nhóm

Ngay sau khi phát hiện vụ hack, các nhà phát triển của KelpDAO đã nhanh chóng tạm dừng hợp đồng cầu nối, ngăn chặn các khoản rút trái phép tiếp theo. Họ cũng phối hợp với một số công ty an ninh chuỗi và phân tích pháp y—bao gồm nhưng không giới hạn ở Chainalysis và PeckShield—để truy tìm các khoản tiền bị đánh cắp. Nhóm đã phát hành một tuyên bố minh bạch trên các kênh mạng xã hội chính thức, xác nhận vụ vi phạm và cam kết điều tra nguyên nhân gốc rễ. Không hứa hẹn hoàn trả ngay lập tức, nhưng nhóm cho biết sẽ có kế hoạch khắc phục sau khi đánh giá đầy đủ tác động.

Trong một bước đi có trách nhiệm, KelpDAO cũng đã liên hệ với các validator của các mạng blockchain bị ảnh hưởng và các sàn giao dịch tập trung lớn để cảnh báo về các địa chỉ ví của hacker. Đây là thủ tục tiêu chuẩn nhằm phong tỏa các khoản gửi vào từ vụ khai thác. Trong vòng 12 giờ, nhiều sàn đã đưa các địa chỉ này vào danh sách đen, mặc dù các dịch vụ trộn chuỗi như Tornado Cash vẫn là một con đường tiềm năng để rửa tiền.

Phân tích kỹ thuật: Cách lỗ hổng của cầu nối bị khai thác

Trong khi nhóm KelpDAO vẫn chưa công bố một báo cáo hậu sự cố đầy đủ )tính đến thời điểm này#KelpDAOBridgeHacked , các nhà nghiên cứu an ninh đã tổng hợp được các phương thức tấn công có khả năng dựa trên các vụ hack cầu nối tương tự. Cầu nối của KelpDAO dựa trên mô hình “khóa và đúc”: người dùng khóa tài sản trên chuỗi nguồn, và một relayer hoặc oracle xác nhận sự kiện, rồi đúc token đã đóng gói trên chuỗi đích. Lỗ hổng dường như nằm ở bước xác minh tin nhắn—cụ thể, thiếu nonce hoặc một scheme chữ ký yếu cho phép cùng một sự kiện gửi tiền được xử lý nhiều lần.

Kẻ tấn công có thể bắt đầu bằng cách gửi một khoản tiền hợp lệ nhỏ để nghiên cứu hành vi của hợp đồng. Sau đó, họ tạo ra một calldata độc hại để phát lại chữ ký xác nhận, lừa cầu nối phát hành tiền từ hợp đồng khóa của chuỗi nguồn mà không cần khóa thêm tài sản mới. Ngoài ra, một số nguồn còn đề cập đến việc sử dụng bot front-running kết hợp với tấn công reentrancy, mặc dù bằng chứng rõ ràng hơn cho thấy đây là một cuộc tấn công phát lại (replay) qua các ID chuỗi khác nhau.

Dù phương pháp chính xác là gì, vấn đề cốt lõi là không xác định được duy nhất từng tin nhắn chuỗi chéo. Đây là một chủ đề lặp lại trong các vụ hack cầu nối—từ Ronin đến Wormhole—nhấn mạnh độ khó trong việc xây dựng các lớp tương tác an toàn.

Ảnh hưởng đến người dùng và TVL của KelpDAO

Đối với người dùng thường xuyên thực hiện giao dịch cầu nối ngay trước vụ hack, số tiền của họ bị mắc kẹt trong trạng thái chờ xử lý. Một số đã gửi tài sản vào hợp đồng cầu nối nhưng chưa nhận được trên chuỗi đích; các khoản này nằm trong số các khoản bị đánh cắp. KelpDAO đã khuyên tất cả người dùng ngừng sử dụng cầu nối ngay lập tức và thu hồi các quyền ủy quyền còn pending cho các địa chỉ hợp đồng bị xâm phạm.

Tổng giá trị bị khóa của giao thức giảm gần 30% trong vòng 48 giờ, không chỉ do các khoản tiền bị đánh cắp mà còn do sự hoảng loạn khiến nhiều người rút khỏi các vị trí rsETH của họ, lo sợ rằng vụ khai thác có thể mở rộng sang các phần khác của giao thức. Tuy nhiên, phân tích trên chuỗi sau đó xác nhận rằng các module restaking cốt lõi vẫn không bị ảnh hưởng. Dù vậy, niềm tin vào thương hiệu KelpDAO đã bị tổn thất đáng kể.

Bài học rút ra và khuyến nghị an ninh

Vụ hack cầu nối của KelpDAO là một lời nhắc nhở về một số chân lý cơ bản trong DeFi:

1. Cầu nối là điểm yếu nhất. Ngay cả khi các hợp đồng thông minh cốt lõi của giao thức đã được kiểm thử kỹ lưỡng, cầu nối vẫn tạo ra các bề mặt tấn công bổ sung. Các dự án nên xem xét sử dụng các giải pháp cầu nối đã được kiểm toán, uy tín như LayerZero, Axelar hoặc Chainlink CCIP thay vì xây dựng cầu nối tùy chỉnh trừ khi thực sự cần thiết.
2. Cơ chế tạm dừng cứu mạng. Khả năng tạm dừng nhanh chóng của KelpDAO đã ngăn chặn thiệt hại thêm. Mỗi cầu nối nên có một chức năng dừng khẩn cấp đã được kiểm thử kỹ lưỡng, kiểm soát đa chữ ký.
3. Minh bạch xây dựng niềm tin. Dù gặp sự cố, KelpDAO vẫn nhận được một số lời khen về phản ứng nhanh và minh bạch trong truyền thông. Người dùng dễ tha thứ hơn khi các nhóm chịu trách nhiệm và cung cấp các cập nhật rõ ràng.
4. Kiểm toán không đủ. Nhiều lần kiểm toán không phát hiện ra lỗ hổng—một hiện tượng phổ biến. Giám sát liên tục, chương trình thưởng lỗi và xác minh chính thức là những bổ sung thiết yếu.

Chuyện gì tiếp theo?

KelpDAO đã cam kết phát hành một báo cáo hậu sự cố đầy đủ và kế hoạch bồi thường. Trong các vụ việc tương tự, các dự án đôi khi chọn bù đắp thiệt hại từ quỹ dự trữ, huy động “quỹ cứu trợ” từ các đối tác đầu tư mạo hiểm, hoặc phát hành token phục hồi. Cũng có khả năng sẽ có một chương trình thưởng để trả lại tiền, đổi lấy phần thưởng whitehat.

Cho đến lúc đó, người dùng được khuyên cảnh giác cao độ. Nếu bạn từng tương tác với cầu nối của KelpDAO, hãy thu hồi quyền hợp đồng bằng các công cụ như Etherscan token approval checker. Không tin vào các dịch vụ hoặc liên kết “phục hồi” không rõ nguồn gốc hứa hẹn lấy lại tiền của bạn—đây hầu hết đều là lừa đảo.

Những suy nghĩ cuối cùng
(
Vụ hack cầu nối của KelpDAO là một chương đau lòng của giao thức nhưng cũng là cơ hội học hỏi cho toàn bộ hệ sinh thái DeFi. Khi hoạt động chuỗi chéo ngày càng phát triển, các kẻ tấn công cũng ngày càng tinh vi hơn. Con đường duy nhất là thực hành an ninh nghiêm ngặt, hợp tác cộng đồng và thừa nhận một cách khiêm tốn rằng ngay cả những nhóm tốt nhất cũng có thể mắc sai lầm. Chúng tôi sẽ tiếp tục theo dõi tình hình và cập nhật khi có thêm thông tin. Hãy giữ an toàn, và luôn kiểm tra kỹ các hợp đồng bạn phê duyệt.

Lời khuyên: Bài viết này chỉ nhằm mục đích cung cấp thông tin và không phải là lời khuyên tài chính hoặc an ninh. Luôn tự nghiên cứu kỹ trước khi sử dụng bất kỳ giao thức DeFi nào.)