Lido DAO kích hoạt cơ chế bỏ phiếu khẩn cấp sau sự cố oracle bị hack

  • DeFi -
  • Lido DAO kích hoạt cơ chế bỏ phiếu khẩn cấp sau sự cố oracle bị hack

Lido DAO kích hoạt cơ chế bỏ phiếu khẩn cấp sau sự cố oracle bị hack

Lido DAO – tổ chức quản lý giao thức staking Ethereum hàng đầu – vừa phải khẩn trương triển khai cơ chế bỏ phiếu khẩn cấp nhằm xử lý một sự cố bảo mật nghiêm trọng liên quan đến hệ thống oracle do validator Chorus One vận hành.

Oracle bị xâm nhập, 1,46 ETH bị đánh cắp

Sự cố được phát hiện vào tối ngày 11/05 khi một thành viên cộng đồng nhận thấy địa chỉ ví nóng liên kết với oracle của Chorus One bất ngờ bị rút sạch số dư ETH. Điều này nhanh chóng kích hoạt quá trình điều tra nội bộ, dẫn đến việc xác nhận rằng một trong chín khóa oracle của Chorus One đã bị hacker xâm nhập và rút 1,46 ETH.

Theo xác nhận từ Chorus One, nguyên nhân đến từ việc rò rỉ private key của một ví nóng được khởi tạo từ năm 2021 – thời điểm mà các biện pháp bảo mật vẫn còn hạn chế. Đơn vị này khẳng định sự cố là cá biệt, không phải do lỗi phần mềm và không ảnh hưởng đến các hệ thống hoặc khóa oracle khác trong mạng lưới Lido.

Hành động khẩn cấp và biện pháp khắc phục

Ngay sau khi xác minh, Chorus One đã tiến hành triển khai một máy chủ mới với lớp bảo mật hiện đại hơn, đồng thời rà soát toàn bộ hệ thống để đảm bảo không có rủi ro tiềm ẩn. Về phía Lido DAO, một cuộc bỏ phiếu khẩn cấp đã được kích hoạt để thay thế khóa oracle bị xâm nhập trên ba hợp đồng quan trọng:

  • Accounting Oracle

  • Validators Exit Bus Oracle

  • Consensus Layer Fee Oracle

Một khóa mới đã được tạo ra với tiêu chuẩn bảo mật nâng cao và phương thức lưu trữ an toàn hơn. Cuộc bỏ phiếu kéo dài 72 giờ và đang có đa số ủng hộ, tiếp sau đó là giai đoạn 48 giờ để cộng đồng phản biện nếu cần thiết.

Tác động đến hệ sinh thái Lido và người dùng

Hiện tại, Lido sử dụng mô hình oracle 5/9, yêu cầu ít nhất 5 trong số 9 khóa ký xác nhận để thực thi các hành động quan trọng. Nhờ đó, các chức năng như cập nhật stETH, xác nhận rút ETH hay cập nhật phí vẫn hoạt động ổn định dù một khóa bị xâm nhập.

Theo trưởng nhóm validators của Lido, sự cố có thể gây ảnh hưởng nhẹ đến tốc độ cập nhật dữ liệu, đặc biệt với những người dùng sử dụng đòn bẩy trên các giao thức DeFi. Tuy nhiên, phần lớn người dùng phổ thông gần như không bị ảnh hưởng.

Niềm tin vẫn được duy trì

Dù xảy ra sự cố bảo mật, Lido vẫn duy trì vị thế là giao thức DeFi có TVL lớn thứ hai thị trường với tổng giá trị khóa lên tới 22,88 tỷ USD, chỉ đứng sau Aave. TVL của Lido chỉ giảm nhẹ 0,27% trong 24 giờ qua và tăng mạnh đến 54,71% trong 30 ngày gần nhất – minh chứng cho dòng tiền staking vẫn tiếp tục đổ vào nền tảng.

Về mặt thị trường, token LDO cũng giữ được sự ổn định tương đối. Trong 24 giờ qua, LDO chỉ giảm nhẹ 3,6%, hiện giao dịch quanh mức 1,09 USD – cho thấy niềm tin từ nhà đầu tư vẫn chưa bị ảnh hưởng nghiêm trọng.

Cam kết minh bạch sau sự cố

Lido DAO và Chorus One cho biết quá trình rà soát toàn hệ thống đã hoàn tất mà không phát hiện thêm dấu hiệu tấn công nào. Một báo cáo chi tiết (post-mortem) về sự việc sẽ được công bố sau khi điều tra hoàn chỉnh, thể hiện cam kết minh bạch và trách nhiệm từ phía các bên liên quan.

Stay Connected
Tags