LayerZero công bố báo cáo khảo sát: Phân tích nguyên nhân trực tiếp và quá trình bị tấn công của KelpDAO

Nguồn: LayerZero; Biên tập: 金色财经Claw

Thông báo về vụ tấn công KelpDAO

Ngày 18 tháng 4 năm 2026, KelpDAO bị tấn công, thiệt hại khoảng 290 triệu USD. Các dấu hiệu ban đầu cho thấy, vụ tấn công này bắt nguồn từ một tổ chức hacker cấp quốc gia cực kỳ phức tạp, rất có thể là nhóm Lazarus của Triều Tiên (cụ thể là nhánh TraderTraitor). Sự kiện này chỉ giới hạn trong cấu hình rsETH của KelpDAO, nguyên nhân trực tiếp là do họ sử dụng thiết lập DVN (mạng xác thực phi tập trung) đơn lẻ. Các tài sản hoặc ứng dụng chéo chuỗi khác không gặp phải rủi ro lây nhiễm nào.

Vụ tấn công cực kỳ phức tạp này nhằm vào phần mềm hạ tầng RPC (gọi xa) của LayerZero Labs mà DVN sử dụng. Hiện tại, tất cả các nút RPC bị ảnh hưởng đã bị loại bỏ và thay thế, và DVN của LayerZero Labs đã hoạt động trở lại.

Chúng tôi chia sẻ những chi tiết này nhằm giúp cộng đồng hiểu rõ hơn và phòng tránh các hình thức tấn công mới mang tính cấp quốc gia này.

Bối cảnh: Kiến trúc an ninh mô-đun của LayerZero

Giao thức LayerZero dựa trên nền tảng an ninh có thể cấu hình theo mô-đun, ứng dụng linh hoạt. Mạng xác thực phi tập trung (DVNs) là các thực thể độc lập chịu trách nhiệm xác minh tính toàn vẹn của các tin nhắn chéo chuỗi. Một điểm cực kỳ quan trọng là, giao thức không bắt buộc phải sử dụng một cấu hình an ninh duy nhất. Ngược lại, nó cho phép từng ứng dụng và nhà phát hành tài sản tự xác định tình hình an ninh của mình, bao gồm việc phụ thuộc vào DVN nào, cách kết hợp và thiết lập ngưỡng dự phòng.

Thực hành tốt nhất trong ngành — cũng là khuyến nghị rõ ràng của LayerZero dành cho tất cả các nhà tích hợp — là cấu hình nhiều DVN đa dạng và có dự phòng. Điều này có nghĩa là bất kỳ DVN đơn lẻ nào cũng không nên là điểm tin cậy hoặc điểm lỗi duy nhất.

Phạm vi và mức độ lây nhiễm: Chỉ giới hạn trong rsETH

Chúng tôi đã tiến hành kiểm tra toàn diện các hoạt động tích hợp trên giao thức LayerZero. Chúng tôi có thể xác nhận chắc chắn rằng, không có rủi ro lây nhiễm nào đối với các tài sản hoặc ứng dụng khác. Sự kiện này hoàn toàn do cấu hình DVN đơn lẻ của KelpDAO gây ra, và chỉ giới hạn trong cấu hình rsETH của họ.

Ứng dụng bị ảnh hưởng là rsETH do KelpDAO phát hành. Khi xảy ra sự kiện, cấu hình OApp của họ dựa trên thiết lập “1 của 1” DVN, chỉ sử dụng LayerZero Labs làm nhà xác thực duy nhất — cấu hình này vi phạm trực tiếp mô hình dự phòng nhiều DVN mà LayerZero luôn khuyến nghị với tất cả các đối tác. Cấu hình điểm yếu đơn điểm này có nghĩa là không có nhà xác thực độc lập nào để phát hiện và từ chối các tin nhắn giả mạo. Trước đó, LayerZero và các tổ chức bên ngoài đã truyền đạt các thực hành tốt nhất về đa dạng hóa DVN cho KelpDAO, mặc dù có các khuyến nghị này, KelpDAO vẫn chọn sử dụng cấu hình 1/1 DVN.

Nếu họ đã áp dụng các biện pháp gia cố hợp lý, thì vụ tấn công sẽ cần phải đạt được sự đồng thuận từ nhiều DVN độc lập, và ngay cả khi một DVN bị tấn công, vụ tấn công sẽ thất bại.

Quá trình xảy ra

Ngày 18 tháng 4 năm 2026, DVN của LayerZero Labs trở thành mục tiêu của một cuộc tấn công cực kỳ phức tạp. Kẻ tấn công đã thay đổi hoặc “gây nhiễm” hạ tầng RPC phía dưới, xâm nhập vào số lượng RPC (Quorum) mà DVN dựa vào để xác thực các giao dịch. Điều này không xảy ra do lỗ hổng trong giao thức, DVN hoặc quản lý khóa.

Ngược lại, kẻ tấn công đã lấy danh sách RPC mà chúng tôi sử dụng, xâm nhập vào hai nút độc lập trong số đó, và thay đổi tệp nhị phân chạy nút op-geth. Do nguyên tắc “ít quyền” của chúng tôi, họ không thể xâm nhập vào các thực thể DVN thực sự. Tuy nhiên, họ đã dùng đó làm đòn bẩy để thực hiện các cuộc tấn công lừa đảo RPC:

• Các nút độc hại gửi tải tùy chỉnh để giả mạo tin nhắn tới DVN.

• Nút này nói dối với DVN, nhưng lại báo cáo thông tin thật cho bất kỳ địa chỉ IP nào khác (bao gồm dịch vụ quét và hạ tầng giám sát nội bộ của chúng tôi). Thiết kế này nhằm tránh bị phát hiện bởi các hệ thống giám sát an ninh.

• Sau khi hoàn tất, nút độc hại tự hủy, vô hiệu hóa RPC và xóa các tệp nhị phân độc hại cùng nhật ký liên quan.

Ngoài ra, kẻ tấn công còn tấn công từ chối dịch vụ (DDoS) vào các RPC chưa bị xâm nhập, kích hoạt chế độ chuyển đổi hệ thống (failover) sang các nút RPC đã bị nhiễm độc. Kết quả là, các thực thể DVN do LayerZero Labs vận hành xác nhận các giao dịch thực ra chưa từng xảy ra.

Tình hình an ninh của LayerZero Labs

Chúng tôi vận hành các điểm cuối phát hiện và phản ứng toàn diện (EDR), kiểm soát truy cập nghiêm ngặt, môi trường hoàn toàn cách ly và hệ thống nhật ký toàn diện. Các nút RPC của chúng tôi hoạt động trong cả hệ thống tự quản lý và bên ngoài. Hiện tại, chúng tôi đang trong giai đoạn cuối của kiểm toán SOC2.

Chặng đường phía trước

1. Khôi phục DVN: LayerZero Labs đã khôi phục hoạt động của DVN. Các ứng dụng sử dụng cấu hình nhiều DVN có thể yên tâm khôi phục hoạt động.

2. Di chuyển bắt buộc: Chúng tôi đang liên hệ với tất cả các ứng dụng dùng cấu hình 1/1 DVN để yêu cầu họ chuyển sang cấu hình dự phòng nhiều DVN. LayerZero Labs DVN sẽ không còn ký hoặc chứng thực các tin nhắn của các ứng dụng dùng cấu hình 1/1 nữa.

3. Hợp tác thực thi pháp luật: Chúng tôi đang hợp tác với nhiều cơ quan thực thi pháp luật toàn cầu, đồng thời hỗ trợ các đối tác ngành và Seal911 trong việc truy tìm nguồn gốc dòng tiền.

Tổng kết

Chúng tôi muốn làm rõ một điểm: Giao thức LayerZero trong toàn bộ sự kiện hoạt động hoàn toàn theo dự kiến. Không phát hiện ra lỗ hổng trong giao thức. Nếu đây là một hệ thống đơn lẻ hoặc hệ thống an toàn chia sẻ, rủi ro lây nhiễm có thể ảnh hưởng đến tất cả các ứng dụng. Đặc điểm duy nhất của kiến trúc LayerZero là an ninh mô-đun, và trong trường hợp này, nó đã phát huy đúng vai trò — giúp cô lập hoàn toàn vụ tấn công trong phạm vi một ứng dụng, không gây lây nhiễm trong hệ thống.

Chúng tôi sẽ tiếp tục nỗ lực đảm bảo an toàn và toàn vẹn của hệ sinh thái LayerZero.