Cuộc tấn công rsETH, bắt đầu từ tối thứ Bảy ngày 18 tháng 4, đã leo thang từ một vụ hack cầu đơn lẻ thành một trong những cuộc khủng hoảng thanh khoản lớn nhất trong lịch sử DeFi chỉ trong vòng một tuần. 116.500 rsETH, trị giá khoảng $292 triệu đô la, đã được đúc thông qua một tin nhắn giả mạo trên cầu rsETH dựa trên LayerZero của KelpDAO. Kẻ tấn công sau đó đã gửi trực tiếp các token "không được đảm bảo" này vào Aave, về cơ bản vay mượn các tài sản thực. Dưới đây là tóm tắt các sự kiện trong tuần:

Cách thức hoạt động của cuộc tấn công?

Sử dụng cấu hình validator đơn (1-of-1) của LayerZero, cầu KelpDAO đã xác thực tin nhắn lzReceive giả mạo của kẻ tấn công. Điều này cho phép rsETH được đúc mà không cần khóa ETH trong ví.

Những rsETH này đã được gửi vào Aave V3 làm tài sản thế chấp trong vòng vài phút. Giao thức, theo bản chất, đã chấp nhận yêu cầu này, và kẻ tấn công đã rút khoảng $190 triệu đô la WETH, wstETH, và stablecoin. Aave sau đó tuyên bố rằng "hệ thống hoạt động theo thiết kế, vấn đề là tài sản thế chấp là giả mạo."

Cũng chính những token này đã được sử dụng trong các thị trường Aave trên Arbitrum và Base. Tổng thiệt hại ban đầu ước tính dao động trong khoảng $123 triệu đến $230 triệu đô la.

Chạy ngân hàng trên Aave

Ngay khi tin tức lan truyền, người dùng hoảng loạn. Tổng cung trên Aave, vào tối thứ Bảy là 45,8 tỷ đô la, đã giảm xuống còn 30,8 tỷ đô la vào sáng thứ Tư. Sự rút tiền khoảng $15 tỷ đô la là rút nhanh nhất trong lịch sử của giao thức.

Thời điểm nguy hiểm nhất là khi các pool USDT và USDC đạt 100% công suất sử dụng. Khoảng $5 tỷ đô la stablecoin trở nên không thể sử dụng vì người vay không thể trả nợ. Trong khi người dùng phản đối với các lời phàn nàn "tiền của tôi bị khóa" trên X, token AAVE đã mất 17,7% giá trị trong ba ngày.

Ban quản lý Aave đã đóng băng các thị trường rsETH trên Ethereum, Arbitrum, và Optimism. Việc gửi thêm tài sản thế chấp và vay mượn bị tạm dừng.

Đóng băng và theo dõi

Vào thứ Hai, Hội đồng Bảo mật Arbitrum đã đóng băng 30.766 ETH, khoảng $71 triệu đô la, trong ví của kẻ tấn công và chuyển nó đến một vault không có người quản lý. Điều này đã gây ra tranh luận về phân quyền, nhưng ít nhất một phần tiền đã được thu hồi.

Các khoản còn lại đang bị rửa tiền nhanh chóng. Các điều tra viên trên chuỗi đã xác định rằng kẻ tấn công đã chuyển đổi 34.500 ETH, khoảng $175 triệu đô la, thành Bitcoin qua THORChain. Các khoản nhỏ hơn đã được chuyển qua giao thức riêng tư Umbra. LayerZero cho rằng cuộc tấn công xuất phát từ nhóm "TraderTraitor" liên kết với Bắc Triều Tiên Lazarus.

DeFi đoàn kết: Phản ứng của ngành

Điều gì đó bất thường đã xảy ra giữa tuần. Aave, Spark, Morpho, Curve, và Mantle đã thành lập một quỹ phục hồi gọi là "DeFi United." Mục tiêu là xây dựng lại tài sản thế chấp cho rsETH.

Ban đầu, 43.500 ETH, khoảng $101 triệu đô la, đã được gửi vào quỹ chung.
Mantle đã mở một hạn mức tín dụng 30.000 ETH cho Aave và tuyên bố, "chúng tôi sẽ đóng góp từ quỹ dự trữ nếu cần."
Tính đến nay, hơn $204 triệu đô la tài sản đã được hoàn trả, và thanh khoản đã bắt đầu trở lại bình thường.

Nhóm KelpDAO đã tạm dừng tất cả các hợp đồng rsETH và đang viết lại cầu với LayerZero. LayerZero thông báo đã hủy bỏ tất cả các cấu hình validator đơn và ngừng ký tin nhắn.

Vậy tình hình rsETH hiện nay ra sao?

Token vẫn chưa đảm bảo ETH theo tỷ lệ 1:1. Nó đang giao dịch với mức chiết khấu 6-8% trên thị trường. Aave vẫn chưa quyết định có xã hội hóa thiệt hại hay không. Ba phương án đang được xem xét:

Bảo hiểm quỹ dự trữ của Aave
Chuyển gánh nặng thiệt hại cho người sở hữu rsETH
Mua lại dần dần qua quỹ DeFi United

Vấn đề cấp bách nhất đối với người dùng là stablecoin bị khóa. Aave cho biết các rút USDT/USDC sẽ được mở khi các khoản trả nợ của người vay tăng tốc.

Bài học rút ra là gì?

Cuộc tấn công trị giá $292 triệu đô la đã cho thấy chỉ một dòng cấu hình sai có thể xóa sạch $14 tỷ đô la TVL của DeFi. Các dự án "hạ tầng" như LayerZero giờ đây không chỉ chịu trách nhiệm về mã code, mà còn về an ninh vận hành.

Dữ liệu mới nhất được chia sẻ dưới hashtag #rsETHAttackUpdate cho thấy cuộc khủng hoảng tồi tệ nhất đã qua, nhưng vết thương vẫn chưa lành. Việc đóng băng của Arbitrum đã cứu được $71 triệu đô la, DeFi United đã huy động được $100 triệu đô la, nhưng vẫn còn một khoản thiếu hụt $120 triệu đô la.

Đối với ngành, đây là "bài kiểm tra niềm tin" lớn nhất kể từ vụ sụp đổ Terra năm 2022. Nếu Aave gánh chịu thiệt hại, câu chuyện "mã là luật" của DeFi sẽ nhường chỗ cho câu chuyện "bảo hiểm cộng đồng." Nếu không, sẽ bắt đầu một quá trình pháp lý kéo dài giữa những người sở hữu rsETH và người gửi tiền vào Aave.

Cuộc tấn công bắt đầu từ một tuần trước, giờ đây không chỉ là vấn đề của KelpDAO, mà còn ảnh hưởng đến toàn bộ hệ sinh thái staking lại.