LayerZero Labs đã phát hành báo cáo sự cố về vụ tấn công cầu KelpDAO, cho biết khoảng 292 triệu USD rsETH đã bị đánh cắp sau khi kẻ tấn công đầu độc hạ tầng RPC được dùng bởi mạng lưới xác minh của họ và buộc phải thay đổi chính sách liên quan đến cấu hình single-signer.
Tóm tắt
- LayerZero cho biết KelpDAO đã bị khai thác để đánh cắp khoảng 290 triệu USD, tương đương chừng 116.500 rsETH, trong một cuộc tấn công bị cô lập chỉ vào thiết lập single-DVN của rsETH.
- Công ty cho biết các chỉ báo ban đầu cho thấy tác nhân liên quan đến Triều Tiên TraderTraitor và mô tả vụ khai thác là sự cố xâm phạm hạ tầng, thay vì lỗi của giao thức.
- LayerZero cho biết họ sẽ ngừng ký các thông điệp cho các ứng dụng dùng cấu hình 1/1 DVN và đang thúc đẩy các bên tích hợp bị ảnh hưởng chuyển sang mô hình multi-DVN dự phòng.
LayerZero Labs đã công bố bản tường thuật chi tiết về vụ khai thác KelpDAO, xác nhận rằng kẻ tấn công đã đánh cắp xấp xỉ 116.500 rsETH, trị giá khoảng 292 triệu USD, bằng cách làm hỏng hạ tầng cấp dưới gắn với lớp xác minh được dùng trong cấu hình liên chuỗi của KelpDAO.
Công ty cho biết sự cố này chỉ giới hạn ở thiết lập rsETH của KelpDAO vì ứng dụng dựa vào cấu hình 1-of-1 DVN với LayerZero Labs là bên xác minh duy nhất; một thiết kế mà LayerZero nói rằng đã mâu thuẫn trực tiếp với khuyến nghị hiện hành của họ rằng ứng dụng phải dùng các thiết lập multi-DVN phân tán kèm dự phòng.
Trong tuyên bố, LayerZero cho biết đã có “zero contagion đến bất kỳ tài sản liên chuỗi hoặc ứng dụng nào khác”, lập luận rằng kiến trúc bảo mật dạng module của giao thức đã khống chế vùng ảnh hưởng, ngay cả khi một cấu hình cấp ứng dụng đơn lẻ bị lỗi.
Cách kẻ tấn công hoạt động {#how-the-attack-worked}
Theo báo cáo của LayerZero, cuộc tấn công ngày 18/4/2026 nhắm vào hạ tầng RPC mà LayerZero Labs DVN dựa vào, thay vì khai thác giao thức LayerZero, quản lý khóa, hay chính phần mềm DVN.
Công ty cho biết kẻ tấn công đã giành quyền truy cập vào danh sách các RPC được DVN sử dụng, xâm phạm hai node chạy trên các cụm riêng biệt, thay thế các binary trên các node op-geth, rồi dùng payload độc hại để đưa dữ liệu giao dịch bị giả mạo cho bộ xác minh trong khi trả về dữ liệu đúng đắn cho các endpoint khác, bao gồm cả các dịch vụ giám sát nội bộ.
Để hoàn tất vụ khai thác, kẻ tấn công cũng triển khai các đợt tấn công DDoS nhắm vào các endpoint RPC chưa bị xâm phạm, khiến hệ thống chuyển failover sang các node đã bị đầu độc và cho phép LayerZero Labs DVN xác nhận các giao dịch chưa từng xảy ra.
Công việc điều tra pháp y bên ngoài nhìn chung khớp với mô tả đó. Chainalysis cho biết các kẻ tấn công liên quan đến Lazarus Group của Triều Tiên, cụ thể là TraderTraitor, đã không khai thác lỗ hổng smart contract mà thay vào đó đã giả mạo một thông điệp liên chuỗi bằng cách đầu độc các node RPC nội bộ và áp đảo các node bên ngoài trong một thiết lập xác minh với điểm đơn lẻ gây lỗi.
Thay đổi bảo mật {#security-changes}
LayerZero cho biết phản ứng ngay lập tức bao gồm việc ngừng sử dụng và thay thế toàn bộ các node RPC bị ảnh hưởng, khôi phục LayerZero Labs DVN hoạt động trở lại và liên hệ với cơ quan thực thi pháp luật, đồng thời phối hợp với các đối tác trong ngành và Seal911 để truy vết số tiền bị đánh cắp.
Quan trọng hơn, công ty đang thay đổi cách họ xử lý các cấu hình rủi ro. Trong tuyên bố, LayerZero cho biết DVN của họ “sẽ không ký hoặc xác nhận thông điệp từ bất kỳ ứng dụng nào sử dụng cấu hình 1/1”, một thay đổi chính sách trực tiếp nhằm ngăn việc tái diễn chế độ lỗi của KelpDAO.
Công ty cũng đang liên hệ với các dự án vẫn dùng cấu hình 1/1 để di chuyển sang mô hình multi-DVN có dự phòng, đồng thời thừa nhận rằng tính linh hoạt cấu hình nhưng thiếu các rào an toàn bắt buộc đã quá dễ dãi trong thực tế.
Bức tranh quy kết cũng đã rõ ràng hơn. Chainalysis liên hệ vụ khai thác với Lazarus Group của Triều Tiên và cụ thể là TraderTraitor, trong khi Nexus Mutual cho biết thông điệp bị giả mạo đã rút cạn 292 triệu USD từ cầu của KelpDAO trong chưa đầy 46 phút, khiến đây trở thành một trong những khoản lỗ DeFi lớn nhất của năm 2026.
Kết quả là một bài học quen thuộc nhưng khắc nghiệt về hạ tầng liên chuỗi: các smart contract có thể vẫn tồn tại nguyên vẹn và giao thức vẫn có thể thất bại trong thực tế nếu lớp tin cậy ngoài chuỗi đủ yếu. Giờ đây LayerZero đang cố gắng chứng minh rằng bài học đúng từ vụ trộm cầu 292 triệu USD không phải là bảo mật dạng module đã thất bại, mà là việc cho phép bất kỳ ai chạy cấu hình single-signer mới là sai lầm thực sự.
