LayerZero công khai xin lỗi sau vụ hack Kelp DAO, thừa nhận sai lầm trong mô hình xác thực

LayerZero công khai xin lỗi sau vụ hack Kelp DAO, thừa nhận sai lầm trong mô hình xác thực. Ảnh: Decrypt

LayerZero quay xe hạ mình nhận lỗi

Giao thức cross-chain LayerZero chính thức công khai xin lỗi về cách xử lý khủng hoảng sau vụ tấn công Kelp DAO hồi tháng 4, khiến khoảng 293 triệu USD tài sản rsETH bị rút khỏi cầu nối.

Trong bài đăng hôm 09/05, LayerZero thừa nhận đã xử lý truyền thông một cách thiếu minh bạch và chậm trễ suốt nhiều tuần sau sự cố.

“Chúng tôi đã làm rất tệ trong khâu truyền thông suốt ba tuần qua. Chúng tôi muốn ưu tiên tính đầy đủ bằng một bản phân tích hậu kiểm toàn diện, nhưng đáng ra phải thẳng thắn hơn ngay từ đầu.” – LayerZero nêu rõ.

Theo giải thích mới nhất, các node RPC nội bộ mà mạng lưới xác thực phi tập trung DVN (Decentralized Verifier Network) của LayerZero sử dụng để đọc dữ liệu blockchain nguồn đã bị nhóm hacker Lazarus của Triều Tiên xâm nhập. Tin tặc đã đầu độc dữ liệu từ các node này, đồng thời triển khai tấn công DDoS vào các nhà cung cấp RPC bên ngoài của LayerZero.

Hệ quả là DVN buộc phải chuyển sang sử dụng hạ tầng đã bị xâm nhập và xác nhận các giao dịch chưa từng thực sự xảy ra trên blockchain. LayerZero từng quy trách nhiệm cho một nhánh của Lazarus mang tên TraderTraitor.

LayerZero lần đầu tiên thừa nhận sai lầm cốt lõi nằm ở việc cho phép mô hình xác thực 1/1 DVN – tức chỉ cần một verifier duy nhất để xác nhận giao dịch – được áp dụng cho các ứng dụng có giá trị tài sản lớn. Dự án cho biết:

“Chúng tôi tin rằng nhà phát triển nên được tự do lựa chọn cấu hình bảo mật, nhưng đã phạm sai lầm khi cho phép DVN của mình hoạt động dưới mô hình 1/1 đối với các giao dịch giá trị cao. Chúng tôi đã không kiểm soát đầy đủ những gì DVN đang bảo vệ, tạo ra một rủi ro mà bản thân cũng không nhận ra.”

Trên đây được xem là bước lùi đáng kể so với tuyên bố ban đầu của LayerZero, vốn đổ phần lớn trách nhiệm cho Kelp DAO, cho rằng giao thức này tự ý lựa chọn cấu hình bảo mật yếu trái với khuyến nghị.

Tuy nhiên, Kelp DAO đã phản bác lập luận trên, dẫn chứng rằng tài liệu hướng dẫn và ví dụ dành cho nhà phát triển của chính LayerZero đều mặc định sử dụng mô hình 1/1 DVN. Phân tích từ Dune Analytics mà Kelp DAO viện dẫn cho thấy khoảng 47% trong số 2.665 hợp đồng OApp hoạt động trên LayerZero vào thời điểm xảy ra vụ hack cũng đang dùng cấu hình tương tự.

Điều khiến sự cố trở nên nghiêm trọng không chỉ nằm ở con số thiệt hại, mà ở việc nó làm lung lay niềm tin vào toàn bộ mô hình bảo mật bridge của LayerZero.

Vụ hack kéo theo hiệu ứng domino toàn hệ sinh thái

Theo nhiều tổ chức nghiên cứu thị trường, vụ việc hiện được xem là một trong những cuộc khủng hoảng bridge nghiêm trọng nhất của DeFi trong năm 2026.

Hacker đã sử dụng lượng rsETH đánh cắp làm tài sản thế chấp để vay ra hàng trăm triệu USD stablecoin trên các giao thức lending lớn như Aave, Compound và Euler, tạo ra hiệu ứng lan truyền trên diện rộng.

Một số market stablecoin còn ghi nhận tình trạng mất cân bằng thanh khoản nghiêm trọng, buộc Aave phải đóng băng nhiều pool liên quan nhằm ngăn nguy cơ nợ xấu lan rộng. Khoản nợ xấu mà Aave đối mặt hiện được ước tính trong khoảng 124-230 triệu USD.

Diễn biến này khiến nhiều nhà phân tích bắt đầu nhìn nhận bridge không còn là lớp hạ tầng trung gian đơn thuần, mà đã trở thành rủi ro mang tính hệ thống của toàn bộ DeFi. Một vụ khai thác bridge giờ đây có thể kéo theo hiệu ứng domino sang stablecoin, lending market và cả thanh khoản Ethereum trên diện rộng.

Vụ hack cũng làm dấy lên tranh luận mới về mức độ phi tập trung thực sự của DeFi. Để hạn chế khủng hoảng lan rộng, Arbitrum DAO đã phải bỏ phiếu đóng băng hơn 30.766 ETH liên quan đến dòng tiền hacker, trong khi cộng đồng kỳ vọng các tổ chức tập trung như Circle hoặc hội đồng multisig của các giao thức hỗ trợ phong tỏa tài sản.

Một chi tiết đáng chú ý khác là sự thay đổi chiến thuật của băng nhóm hacker Lazarus. Nếu các cuộc tấn công DeFi trước đây chủ yếu tập trung khai thác lỗi smart contract, vụ việc lần này cho thấy hacker đang chuyển hướng sang tấn công hạ tầng vận hành như RPC, multisig, social engineering và hệ thống xác thực backend – những thành phần ít được chú ý hơn nhưng lại đóng vai trò sống còn đối với các giao thức cross-chain.

LayerZero siết bảo mật giữa làn sóng rời bỏ sang Chainlink CCIP

Ngoài vụ hack Kelp DAO, LayerZero cũng lần đầu tiết lộ một sự cố bảo mật vận hành nội bộ từng xảy ra cách đây khoảng ba năm rưỡi.

Theo đó, một thành viên ký multisig của dự án đã sử dụng ví cứng phục vụ môi trường sản xuất để thực hiện giao dịch cá nhân thay vì dùng thiết bị riêng biệt như quy định. LayerZero cho biết cá nhân này đã bị loại khỏi hệ thống multisig, toàn bộ ví được thay mới, đồng thời dự án đã triển khai phần mềm phát hiện bất thường trên tất cả thiết bị ký giao dịch.

Thông tin này xuất hiện trong bối cảnh cộng đồng bảo mật blockchain gần đây liên tục đặt nghi vấn về quy trình quản lý khóa multisig của LayerZero. Một số nhà nghiên cứu on-chain, trong đó có Zach Rynes từ cộng đồng Chainlink, từng phát hiện dấu hiệu cho thấy các khóa multisig sản xuất được dùng để thực hiện giao dịch DEX không liên quan, bao gồm cả giao dịch memecoin McPepes trên Uniswap.

The multisig keys used in production by LayerZero Labs to secure billions in user funds was also being used to trade a memecoin called “McPepes (PEPES)”

… WTF

An absolute failure of even the most basic opsec and key isolation best practices, putting any user who used… pic.twitter.com/XncQ8PzOCh

— Zach Rynes | CLG (@ChainLinkGod) May 8, 2026

CEO Bryan Pellegrino giải thích đây chỉ là hoạt động thử nghiệm OFT do các signer cũ thực hiện và những cá nhân này hiện đã bị thanh trừng khỏi hệ thống.

Sau sự cố, LayerZero cho biết đã triển khai hàng loạt thay đổi về hạ tầng bảo mật. Cụ thể, DVN của LayerZero Labs sẽ không còn hỗ trợ mô hình xác thực 1/1. Cấu hình mặc định trên các tuyến bridge sẽ được nâng lên tối thiểu 5 verifier nếu điều kiện cho phép, hoặc ít nhất 3 verifier trên các blockchain có số lượng DVN hạn chế.

Dự án cũng đang phát triển thêm một client DVN viết bằng ngôn ngữ Rust nhằm đa dạng hóa phần mềm xác thực, đồng thời tái cấu trúc hệ thống RPC để cho phép kiểm soát quorum linh hoạt hơn giữa node nội bộ và bên ngoài.

Ở cấp độ hạ tầng quản trị, LayerZero dự định nâng ngưỡng multisig từ mô hình 3/5 lên 7/10 thông qua OneSig, công cụ multisig mã nguồn mở do chính dự án phát triển. Hệ thống này cho phép signer tải giao dịch và băm dữ liệu cục bộ trước khi ký, hạn chế nguy cơ backend chèn giao dịch trái phép.

Ngoài ra, LayerZero còn xây dựng nền tảng Console nhằm giúp các tổ chức phát hành tài sản theo dõi và cấu hình bảo mật, tích hợp sẵn tính năng cảnh báo các thiết lập rủi ro cao.

Song, những động thái trên diễn ra trong bối cảnh LayerZero đang đối mặt làn sóng dịch chuyển thanh khoản sang đối thủ Chainlink CCIP.

Kelp DAO vừa thông báo chuyển toàn bộ hạ tầng cross-chain sang CCIP, ghi danh giao thức lớn đầu tiên rời bỏ LayerZero kể từ sau vụ hack. Ngay sau đó, Solv Protocol cũng tuyên bố sẽ di chuyển hơn 700 triệu USD Bitcoin token hóa khỏi LayerZero do lo ngại vấn đề bảo mật. Một số giao thức stablecoin mới như Re.xyz cũng đã chọn CCIP làm hạ tầng cross-chain mặc định.

Cùng với đó, sáng kiến cứu trợ DeFi United được thành lập sau vụ hack hiện đã huy động hơn 300 triệu USD bằng ETH và stablecoin nhằm xử lý hậu quả. LayerZero đóng góp 10.000 ETH cho quỹ này, bao gồm 5.000 ETH tài trợ trực tiếp và 5.000 ETH cho Aave vay nhằm hỗ trợ xử lý nợ xấu phát sinh từ sự cố.

LayerZero khẳng định sẽ công bố báo cáo hậu kiểm chính thức sau khi các đối tác bảo mật độc lập hoàn tất điều tra.

Coin68 tổng hợp