EnglishTóm tắt nhanh
- LayerZero lần đầu công khai nhận lỗi trong cách xử lý vụ hack Kelp DAO khiến hơn 292 triệu USD rsETH bị đánh cắp.
- Dự án thừa nhận không nên cho phép cấu hình “1 verifier” đối với các giao dịch giá trị lớn.
- Hàng loạt thay đổi bảo mật mới được triển khai sau khi nhiều giao thức lớn bắt đầu rời bỏ LayerZero để chuyển sang Chainlink CCIP.
LayerZero thay đổi lập trường sau nhiều tuần tranh cãi
Sau gần ba tuần liên tục hứng chỉ trích từ cộng đồng crypto, LayerZero cuối cùng đã đăng tải bài viết công khai xin lỗi liên quan đến cách xử lý vụ exploit của Kelp DAO xảy ra vào ngày 18/04.
Vụ tấn công này khiến khoảng 292 triệu USD rsETH bị rút khỏi cầu nối cross-chain của Kelp DAO và nhanh chóng trở thành một trong những sự cố DeFi nghiêm trọng nhất năm 2026.
Trong bài đăng mới nhất, LayerZero thừa nhận đội ngũ đã “làm rất tệ” trong việc truyền thông với cộng đồng sau vụ hack.
Dự án cho biết trước đây họ ưu tiên chuẩn bị một bản post-mortem hoàn chỉnh nên phản hồi chậm và thiếu trực diện trong giai đoạn đầu sau sự cố.
Đây được xem là sự thay đổi đáng chú ý về giọng điệu, bởi ngay sau vụ hack, LayerZero từng tuyên bố hệ thống của họ “vận hành đúng như thiết kế”, đồng thời đổ phần lớn trách nhiệm cho cấu hình bảo mật từ phía Kelp DAO.
LayerZero thừa nhận sai lầm với mô hình “1-of-1 verifier”
Điểm đáng chú ý nhất trong bài xin lỗi là việc LayerZero chính thức thừa nhận họ không nên cho phép hệ thống DVN (Decentralized Verifier Network) hoạt động theo mô hình “1-of-1 verifier” đối với các giao dịch có giá trị lớn.
Theo LayerZero, họ tin rằng các nhà phát triển nên có quyền lựa chọn cấu hình bảo mật riêng. Tuy nhiên, đội ngũ đã đánh giá thấp rủi ro khi để DVN của chính LayerZero trở thành verifier duy nhất cho nhiều ứng dụng cross-chain.
“Chúng tôi đã không kiểm soát đầy đủ những gì DVN của mình đang bảo vệ, và điều đó tạo ra một rủi ro mà chúng tôi không nhìn thấy,” dự án viết.
Tuyên bố này được xem là bước lùi lớn so với lập trường ban đầu của LayerZero.
Trước đó, LayerZero từng cho rằng Kelp DAO tự lựa chọn cấu hình 1 verifier bất chấp các khuyến nghị bảo mật từ nền tảng. Tuy nhiên, phía Kelp DAO phản bác rằng cấu hình này thực chất là lựa chọn mặc định trong tài liệu onboarding và quickstart của LayerZero.
Một phân tích từ Dune Analytics cho thấy vào thời điểm xảy ra vụ hack, có tới khoảng 47% ứng dụng LayerZero đang sử dụng cùng mô hình bảo mật “1-of-1 verifier”.
Lazarus Group bị cáo buộc đứng sau vụ tấn công
LayerZero cho biết nhóm hacker Lazarus của Triều Tiên là bên đứng sau vụ exploit.
Theo mô tả từ dự án, hacker đã xâm nhập các internal RPC node mà DVN sử dụng để đọc dữ liệu blockchain nguồn.
Song song với đó, nhóm tấn công còn thực hiện DDoS vào các RPC provider bên ngoài nhằm buộc hệ thống chuyển sang sử dụng hạ tầng đã bị xâm nhập trước đó.
Điều này khiến DVN ký xác nhận cho các giao dịch chưa từng thực sự tồn tại trên blockchain.
LayerZero cho biết nhóm tấn công thuộc nhánh TraderTraitor - một subgroup nổi tiếng của Lazarus từng liên quan đến nhiều vụ hack crypto lớn trước đây.
LayerZero tiết lộ thêm sự cố bảo mật nội bộ
Ngoài vụ hack Kelp DAO, LayerZero cũng lần đầu tiết lộ một sự cố vận hành nội bộ từng xảy ra khoảng ba năm rưỡi trước.
Theo đó, một multisig signer của dự án từng sử dụng ví phần cứng production để thực hiện giao dịch cá nhân thay vì dùng thiết bị riêng biệt.
Sau sự cố, signer này đã bị loại khỏi multisig, toàn bộ ví được thay đổi và LayerZero bổ sung thêm hệ thống phát hiện bất thường trên các thiết bị ký giao dịch.
Thông tin này xuất hiện trong bối cảnh cộng đồng đang đặt nhiều nghi vấn về quy trình vận hành multisig của LayerZero.
Trước đó, nhiều nhà nghiên cứu on-chain từng phát hiện dấu hiệu cho thấy các multisig key production đã được sử dụng cho hoạt động DEX unrelated, bao gồm cả giao dịch memecoin trên Uniswap.
Hàng loạt thay đổi bảo mật được triển khai
Sau vụ exploit, LayerZero cho biết họ đã bắt đầu áp dụng nhiều thay đổi lớn về bảo mật hệ thống. Cụ thể, DVN của LayerZero sẽ không còn hỗ trợ cấu hình “1-of-1” nữa.
Các pathway mặc định trên giao thức hiện sẽ yêu cầu tối thiểu 5 verifier nếu có đủ điều kiện hạ tầng. Với những blockchain chỉ có ít verifier khả dụng, mức tối thiểu cũng sẽ được nâng lên 3 verifier.
Ngoài ra, LayerZero đang phát triển thêm client DVN thứ hai viết bằng Rust nhằm tăng tính đa dạng hạ tầng và giảm nguy cơ lỗi tập trung.
Dự án cũng cho biết sẽ nâng multisig threshold từ 3/5 lên 7/10 thông qua công cụ OneSig - giải pháp multisig mã nguồn mở do chính LayerZero phát triển.
Nhiều giao thức bắt đầu rời bỏ LayerZero
Bài xin lỗi xuất hiện trong thời điểm khá nhạy cảm với LayerZero khi nhiều dự án lớn bắt đầu rời hệ sinh thái.
Kelp DAO đã chính thức chuyển sang sử dụng Chainlink CCIP cho hạ tầng cross-chain thay vì LayerZero.
Ngay sau đó, Solv Protocol cũng thông báo di chuyển hơn 700 triệu USD tài sản Bitcoin tokenized khỏi LayerZero vì lo ngại bảo mật.
Trong khi đó, sáng kiến DeFi United được thành lập để hỗ trợ khắc phục hậu quả vụ hack hiện đã huy động hơn 300 triệu USD ETH và stablecoin.
LayerZero cũng đóng góp khoảng 10.000 ETH cho quá trình phục hồi, bao gồm 5.000 ETH tài trợ trực tiếp và 5.000 ETH cho Aave vay nhằm hỗ trợ xử lý khoản nợ xấu phát sinh từ sự cố.
Đọc thêm:
_thumb_720.jpg)
