Các điểm chính:
Giao thức nhắn tin chuỗi chéo LayerZero đã công khai thừa nhận lỗi đối với một sơ suất bảo mật nghiêm trọng dẫn đến vụ tấn công 292 triệu USD vào Kelp DAO hồi tháng 4, đồng thời cam kết đại tu an ninh trên toàn mạng lưới.
Trong một bản phân tích chi tiết sau sự cố, các giám đốc điều hành của LayerZero đã nhận toàn bộ trách nhiệm về việc để một ứng dụng có giá trị cao hoạt động với cấu hình trình xác thực đơn lẻ, một thiết lập tạo ra điểm yếu duy nhất. “Chúng tôi đã không kiểm soát những gì DVN của mình đang bảo mật, điều này tạo ra một rủi ro mà chúng tôi đơn giản là không nhìn thấy,” công ty cho biết, đánh dấu một sự thay đổi đáng kể so với các thông tin ban đầu.
Cuộc tấn công ngày 18 tháng 4, được cho là do Lazarus Group của Triều Tiên thực hiện, vẫn là vụ vi phạm an ninh DeFi lớn nhất năm 2026. Mặc dù giao thức cốt lõi của LayerZero không bị xâm phạm, những kẻ tấn công đã làm nhiễm độc nguồn dữ liệu được sử dụng bởi Mạng lưới Trình xác thực Phi tập trung (DVN) của chính LayerZero Labs. Điều này cho phép lấy trộm 117.132 rsETH từ Kelp DAO, một phần trong số đó sau đó được sử dụng làm tài sản thế chấp trên giao thức cho vay Aave, tạo ra khoản nợ xấu xấp xỉ 190 triệu USD.
Hậu quả của vụ việc buộc ngành công nghiệp phải đánh giá lại rộng rãi về bảo mật cầu nối chuỗi chéo và sự đánh đổi giữa quyền tự chủ của nhà phát triển và các biện pháp bảo vệ cấp giao thức. Hệ quả trực tiếp là Kelp DAO đã thông báo chuyển từ LayerZero sang Giao thức Tương tác Chuỗi chéo (CCIP) của Chainlink và đã bắt đầu khởi động lại việc rút tiền rsETH sau các bước phục hồi ban đầu được phối hợp với Aave.
LayerZero đã ngay lập tức hành động để loại bỏ lỗ hổng này trong toàn bộ hệ sinh thái của mình. Công ty thông báo rằng DVN của họ sẽ không còn hỗ trợ các thiết lập 1/1 cho bất kỳ dự án nào. Các cấu hình mặc định đang được nâng cấp để yêu cầu nhiều trình xác thực—lý tưởng là năm, hoặc tối thiểu là ba khi các lựa chọn bị hạn chế.
Kelp DAO xác nhận rằng họ đã cập nhật các cài đặt cầu nối LayerZero còn lại để yêu cầu bốn người chứng thực độc lập và tăng số lần xác nhận khối từ 42 lên 64.
Cuộc tấn công cũng thúc đẩy một nỗ lực phục hồi rộng lớn hơn. Aave đã dẫn đầu một sáng kiến mang tên DeFi United, huy động được hơn 300 triệu USD bằng ETH để hỗ trợ các giao thức bị ảnh hưởng. Tuy nhiên, các thách thức pháp lý đã làm phức tạp việc sử dụng một số khoản tiền đã phục hồi, vì một tòa án Hoa Kỳ đã áp đặt các hạn chế đối với 72 triệu USD bằng ETH bị đóng băng trên mạng Arbitrum có liên quan đến kẻ tấn công.
LayerZero tuyên bố rằng bất chấp sự cố, hơn 9 tỷ USD giá trị đã được chuyển qua giao thức kể từ giữa tháng 4 mà không gặp vấn đề gì. Công ty hiện đang triển khai các công cụ mới, bao gồm máy khách DVN dựa trên Rust và nền tảng Console nâng cao, để giúp các dự án quản lý cấu hình và phát hiện các bất thường, nhằm xây dựng lại niềm tin bằng cách thực thi các tiêu chuẩn an toàn, chặt chẽ hơn theo mặc định.
Bài viết này chỉ nhằm mục đích cung cấp thông tin và không cấu thành lời khuyên đầu tư.
