Các ý chính
LayerZero Labs đã trình bày chi tiết về lỗ hổng khai thác ngày 18 tháng 4 khiến cầu nối rsETH của KelpDAO bị mất khoảng 292 triệu USD, cho rằng tổn thất là do cơ sở hạ tầng RPC bị xâm nhập và thiết lập bảo mật điểm lỗi duy nhất.
LayerZero cho biết trong báo cáo hậu sự của mình: "Sự cố chỉ giới hạn ở thiết lập rsETH của KelpDAO vì ứng dụng dựa trên cấu hình DVN 1/1 với LayerZero Labs là trình xác thực duy nhất", đồng thời lưu ý rằng điều này mâu thuẫn với các khuyến nghị bảo mật hiện hành của họ.
Những kẻ tấn công đã đánh cắp khoảng 116.500 rsETH bằng cách làm nhiễm độc hai nút RPC để cung cấp dữ liệu giao dịch giả mạo cho trình xác thực. Đồng thời, chúng đã phát động một cuộc tấn công DDoS vào các nút khác, buộc phải chuyển đổi dự phòng sang cơ sở hạ tầng bị xâm nhập và cho phép xác nhận các lần rút tiền gian lận chưa từng xảy ra trên chuỗi nguồn.
Lỗ hổng khai thác này, một trong những vụ lớn nhất năm 2026, đã buộc LayerZero phải chấm dứt hỗ trợ cho các cấu hình trình xác thực đơn lẻ, thúc đẩy tất cả các dự án tích hợp hướng tới các mô hình đa chữ ký để ngăn chặn các cuộc tấn công cấp cơ sở hạ tầng tương tự gây ra tổn thất cấp giao thức. Phân tích pháp y từ các công ty bao gồm Chainalysis đã liên kết cuộc tấn công với Nhóm Lazarus liên kết với Triều Tiên, cụ thể là phân nhóm TraderTraitor.
Trong báo cáo của mình, LayerZero nhấn mạnh rằng cuộc tấn công là một sự xâm nhập cơ sở hạ tầng hơn là một lỗi trong giao thức cốt lõi, hợp đồng thông minh hoặc phần mềm DVN của mình. Những kẻ tấn công đã truy cập vào danh sách các RPC được sử dụng bởi LayerZero Labs DVN, xâm nhập hai nút và thay thế các tệp thực thi bằng mã độc. Điều này cho phép chúng chuyển các thông điệp giả mạo đến trình xác thực trong khi vẫn trả về dữ liệu bình thường cho các dịch vụ giám sát, giúp che giấu cuộc tấn công một cách hiệu quả khi nó đang diễn ra.
Phản ứng ngay lập tức của công ty bao gồm việc loại bỏ tất cả các nút RPC bị ảnh hưởng và liên hệ với cơ quan thực thi pháp luật. Quan trọng hơn, LayerZero đã ban hành một sự thay đổi chính sách lớn, tuyên bố rằng DVN của họ "sẽ không ký hoặc xác nhận các thông điệp từ bất kỳ ứng dụng nào sử dụng cấu hình 1/1". Công ty hiện đang tích cực di chuyển các dự án khỏi các thiết lập điểm lỗi duy nhất này sang các mô hình đa trình xác thực dự phòng.
Sự cố này là một phần của xu hướng lớn hơn về các lỗ hổng khai thác nhắm vào các thành phần ngoại chuỗi và tập trung của các giao thức DeFi. Một cuộc tấn công tương tự đã xảy ra vào ngày 19 tháng 5, khi Echo Protocol mất khoảng 816.000 USD sau khi một khóa quản trị bị xâm nhập cho phép kẻ tấn công đúc eBTC trái phép trên bản triển khai Monad của nó. Misha Putiatin, đồng sáng lập công ty bảo mật Statemind, lưu ý rằng khi DeFi trở nên phụ thuộc nhiều hơn vào cơ sở hạ tầng ngoại chuỗi, ngành công nghiệp đang chứng kiến sự gia tăng của các "cuộc tấn công kiểu Web2.5" nhắm vào quản lý khóa và cơ sở hạ tầng vận hành.
Vụ hack KelpDAO được coi là một trong những vụ quan trọng nhất trong năm, vượt qua vụ khai thác 285 triệu USD của Drift Protocol vào tháng 4. Nó phục vụ như một lời nhắc nhở rõ ràng rằng ngay cả với các hợp đồng thông minh an toàn, tính bảo mật của một giao thức chỉ mạnh bằng liên kết ngoại chuỗi yếu nhất của nó. Động thái thực thi các tiêu chuẩn bảo mật nghiêm ngặt hơn đối với người dùng của LayerZero là một sự thừa nhận rằng các tùy chọn cấu hình dễ dãi có thể tạo ra rủi ro hệ thống.
Bài viết này chỉ dành cho mục đích thông tin và không cấu thành lời khuyên đầu tư.
