Portal
Hot News
Newest
Feautured
Admin
LayerZero cho rằng Lazarus đứng sau vụ hack Kelp DAO, khai thác lỗi cấu hình DVN và tấn công RPC khiến hacker dễ dàng giả mạo giao dịch và rút tiền.
LayerZero: Lazarus đứng sau vụ hack Kelp DAO, nguyên nhân do hệ thống bảo mật yếu
LayerZero vừa công bố báo cáo chi tiết về vụ tấn công nhắm vào cầu nối cross-chain của Kelp DAO vào ngày 18/04 vừa qua, khiến nền tảng này thiệt hại khoảng 116.500 rsETH, tương đương gần 290 triệu USD.
https://t.co/3vIHs3Xgs4
— LayerZero (@LayerZero_Core) April 20, 2026
Tấn công hạ tầng thay vì khai thác smart contract
Theo LayerZero, cuộc tấn công khai thác vào điểm yếu trong hạ tầng giao thức Kelp DAO, cụ thể là hệ thống RPC, vốn cung cấp dữ liệu để xác minh các giao dịch..
Hacker trước hết đã tìm cách thu thập danh sách các RPC node mà hệ thống xác minh giao dịch DVN của LayerZero sử dụng. Từ đó, chúng xâm nhập thành công vào hai RPC node độc lập, chạy trên các cụm hạ tầng khác nhau và thay thế phần mềm vận hành bằng phiên bản đã bị chỉnh sửa.
Điểm tinh vi nằm ở đây là việc các node bị hack không làm sai dữ liệu toàn bộ hệ thống, mà chỉ gửi dữ liệu giả đến DVN. Trong khi đó, với các hệ thống khác bao gồm cả công cụ giám sát nội bộ, chúng vẫn trả về dữ liệu chính xác.
Nói đơn giản, hacker chỉ nói dối đúng chỗ cần nói dối, còn lại vẫn hoạt động như bình thường, nên hệ thống gần như không phát hiện ra bất thường.
Tuy nhiên, chỉ kiểm soát hai node là chưa đủ. Do DVN sử dụng nhiều nguồn RPC để đối chiếu dữ liệu, hacker đã triển khai thêm một cuộc tấn công DDoS vào các node sạch, khiến hệ thống buộc phải chuyển sang sử dụng các node đã bị kiểm soát.
Hacker tấn công DDOS vào các node sạch
Khi điều này xảy ra, các node độc hại gửi một thông điệp cross-chain giả và được DVN xác nhận là hợp lệ.
Hệ quả là bridge của Kelp DAO đã tin rằng có một giao dịch thật, từ đó mở khóa và chuyển 116.500 rsETH cho kẻ tấn công.
Sau khi hoàn tất, mã độc trên các node này được thiết kế để tự hủy, xóa toàn bộ file, log và dấu vết liên quan, gây khó khăn cho quá trình điều tra.
Sai lầm của Kelp DAO khi sử dụng cấu hình 1-of-1 DVN
LayerZero cho biết nguyên nhân chính khiến vụ tấn công xảy ra là do Kelp DAO sử dụng cấu hình xác minh bảo mật 1-of-1 DVN, chỉ cần 1 private key quản trị phê duyệt là có thể rút tiền.
Trong trường hợp này, khi nguồn dữ liệu xác minh bị thao túng, không có bên thứ hai để kiểm tra lại, nên giao dịch giả vẫn được chấp nhận.
Sau sự cố, LayerZero cũng đã thay thế các RPC node bị xâm nhập và khôi phục hệ thống. Đồng thời, giao thức cũng tuyên bố sẽ không tiếp tục hỗ trợ các dự án sử dụng cấu hình 1-of-1 DVN.
Các dự án đang vận hành theo mô hình này sẽ buộc phải chuyển sang cấu hình multi-DVN nếu muốn tiếp tục sử dụng hạ tầng của LayerZero.
Hệ quả lan rộng trên toàn thị trường
Ngay sau vụ hack, nhiều giao thức lớn khác đã chủ động tạm dừng các bridge sử dụng LayerZero như Ethena, ether.fi, Tron DAO hay Curve Finance để kiểm tra lại hệ thống và giảm thiểu rủi ro.
Như Coin68 đưa tin, tác động rõ rệt nhất xảy ra trên Aave khi hacker đã mang số rsETH đánh cắp được sang Aave V3 làm tài sản thế chấp để vay một lượng lớn WETH, đẩy nguy cơ phát sinh nợ xấu trên giao thức ước tính lên tới 200 triệu USD.
Cộng đồng crypto thì hiện đang tranh cãi về phương thức các dự án liên đới sẽ giải quyết vụ việc, bởi việc chọn giữa kịch bản để cộng đồng tự gánh hậu quả hoặc Kelp và Aave phải tự trích quỹ riêng để bù đắp số tiền tổn thất đều sẽ ảnh hưởng đến lợi ích của các bên.
DeFiLlama Co-founder 0xngmi on Kelp DAO rsETH Hack – 3 Potential Paths:
Socialize losses across all users
18.5% haircut → ~$216M bad debt on Aave.
Umbrella covers $55M, Aave treasury covers $85M, leaving $76M gap (can be filled by borrowing or selling ~$51M AAVE from treasury).…
— Wu Blockchain (@WuBlockchain) April 20, 2026
Theo dữ liệu từ DefiLlama, hơn 10 tỷ USD TVL đã bị rút khỏi Aave chỉ trong thời gian ngắn, khiến TVL của nền tảng này hiện chỉ còn quanh 17,95 tỷ USD.
Thống kê TVL trên Aave. Nguồn: DefiLlama (Ngày 20/04/2026)
Ở quy mô toàn ngành, TVL của thị trường DeFi cũng giảm hơn 8% chỉ trong 24 giờ qua, từ gần 100 tỷ USD xuống còn khoảng 85,4 tỷ USD.
Thống kê TVL trên toàn ngành Defi. Nguồn: DefiLlama (Ngày 20/04/2026)
Giá ZRO cũng ghi nhận mức sụt giảm sâu hơn 18,5% trong 1 tuần qua, hiện đang dao động quanh mức 1,57 USD.
Biến động giá ZRO trong 24 giờ qua, ảnh chụp màn hình trên CoinGecko lúc 03:15 PM ngày 20/04/2026
Nghi ngờ nhóm tin tặc Lazarus đứng sau
LayerZero cho biết các dấu hiệu ban đầu cho thấy vụ tấn công nhằm vào Kelp DAO nhiều khả năng được thực hiện bởi một tác nhân cấp nhà nước với trình độ cao, cụ thể là nhóm Lazarus của Triều Tiên, đặc biệt là nhánh TraderTraitor.
Đáng chú ý, Lazarus cũng bị nghi đứng sau vụ hack Drift Protocol vào ngày 01/04 trước đó. Chỉ trong vòng 18 ngày, cùng nhóm tin tặc khét tiếng tại Triều Tiên này được cho là đã đánh cắp hơn 575 triệu USD thông qua hai phương thức hoàn toàn khác nhau: tấn công social engineering ở vụ Drift và tấn công hạ tầng RPC ở vụ Kelp DAO.
Coin68 tổng hợp
LayerZero Kelp DAO hack Lazarus#LayerZero #Lazarus #đứng #sau #vụ #hack #Kelp #DAO #nguyên #nhân #hệ #thống #bảo #mật #yếu1776686383
