Tôi vừa đọc một phân tích khá thú vị của CTO kỳ cựu của Ripple về những gì đã xảy ra với Kelp DAO. David Schwartz đề cập đến một điểm mà nhiều người trong cộng đồng chưa xem xét đủ.

Vấn đề cốt lõi không chỉ là có một lỗ hổng trong mã nguồn, mà còn sâu xa hơn thế: phần lớn các cầu nối DeFi đều được trang bị các cơ chế an ninh khá vững chắc, nhưng thực tế là không ai sử dụng chúng. Nghe có vẻ lạ, nhưng đúng là như vậy. Các nhà phát triển của những cầu nối này thường xuyên khuyên không nên kích hoạt các lớp bảo vệ an ninh mạnh mẽ nhất vì điều đó làm phức tạp hoạt động.

Trong trường hợp cụ thể của Kelp DAO, cuộc tấn công xảy ra cách đây ba ngày, rút khoảng 116.500 rsETH qua cầu rsETH. Phân tích trên chuỗi cho thấy tất cả bắt nguồn từ một lỗ hổng rò rỉ khoá riêng tư, cho phép kẻ tấn công thao túng hệ thống. Đây là điểm mà CTO của Ripple đưa ra nhận xét quan trọng: có thể Kelp DAO đã chọn cấu hình an ninh tối thiểu, bỏ qua các chức năng quan trọng của LayerZero có thể đã ngăn chặn tất cả chuyện này.

Các con số thật ấn tượng: 292 triệu đô la biến mất chỉ trong chốc lát. Nhưng điều thực sự khiến tôi chú ý là CTO chỉ ra rằng điều này hoàn toàn có thể phòng tránh được. Sự mỉa mai là hệ thống được thiết kế để an toàn, nhưng sự tiện lợi và phức tạp trong vận hành cuối cùng lại chiến thắng.

Đây là một lời nhắc nhở rằng trong DeFi, đôi khi rủi ro không đến từ thiết kế kém, mà từ các quyết định vận hành ưu tiên sự tiện lợi hơn an toàn. Một điều cần ghi nhớ khi bạn đánh giá bất kỳ giao thức nào.