Thư mở của LayerZero Labs cố gắng giải thích các thất bại liên quan đến vụ hack KelpDAO

LayerZero Labs phát hành một bức thư mở giải thích về những thất bại trong giao tiếp và vận hành sau vụ hack KelpDAO do nhóm Lazarus thực hiện. Cuộc tấn công mạng không ảnh hưởng đến giao thức của LayerZero Labs nhưng đã ảnh hưởng đến hệ thống nội bộ của họ, khiến công ty thừa nhận những sai lầm trong các hoạt động trước đó

LayerZero Labs đã phát hành thư xin lỗi vào ngày 8 tháng 5 năm 2026

LayerZero thừa nhận đã sử dụng sai multisig trong quá khứ

Khoảng ngày 19 tháng 4 năm 2026, nhóm Lazarus tấn công các nút RPC nội bộ của LayerZero Labs, được sử dụng bởi mạng DVN của họ. Những kẻ tấn công đã làm hỏng nguồn sự thật cho các RPC nội bộ này và đồng thời phát động một cuộc tấn công DDoS chống lại nhà cung cấp RPC bên ngoài của LayerZero Labs. LayerZero đã làm rõ rằng giao thức LayerZero không bị ảnh hưởng trong vụ việc này.

Theo báo cáo của Cryptopolitan, vụ hack chỉ ảnh hưởng đến một ứng dụng duy nhất, chiếm 0,14% tổng số ứng dụng LayerZero và 0,36% tổng giá trị tài sản được cầu nối trên nền tảng. Việc xâm nhập này đã dẫn đến vụ khai thác rsETH trị giá 300 triệu đô la nhằm vào KelpDAO

Trong lời xin lỗi, LayerZero Labs cũng bình luận về một vấn đề bảo mật khác đã xảy ra cách đây ba năm rưỡi. Trong một trường hợp, một người ký đã sử dụng ví phần cứng dành cho các giao dịch multisig cho một giao dịch cá nhân để giao dịch memecoin McPepes trên Uniswap bằng ví cá nhân của họ

Một người ký đã được thay thế, ví đã được hoán đổi, và các biện pháp đã được đưa ra để ngăn chặn các sự cố tương tự trong tương lai.

Điều này trái ngược trực tiếp với các tuyên bố công khai trước đó của đồng sáng lập LayerZero Bryan Pellegrino, người đã gọi những hoạt động như vậy là “kiểm thử OFT” tiêu chuẩn chỉ chưa đầy 24 giờ trước đó. Một số người dùng đã chỉ ra sự mâu thuẫn này, lưu ý rằng các memecoin liên quan đã xuất hiện trong nhiều giao dịch từ cùng một ví multisig trong một thời gian khá dài

Theo báo cáo của Cryptopolitan, LayerZero đã làm rõ rằng cơ chế multisig của họ chỉ cho phép kiểm soát chức năng Endpoint, bao gồm thêm chuỗi và cập nhật mặc định thử nghiệm.

LayerZero thúc đẩy các nhà phát triển làm công tác bảo mật tốt hơn

LayerZero đã nhấn mạnh lại kiến trúc nền tảng của mình, được thiết kế để loại bỏ các điểm thất bại đơn lẻ phổ biến trong các cầu nối truyền thống. Mỗi ứng dụng có thể tự chủ sở hữu an ninh từ đầu đến cuối mà không phụ thuộc vào LayerZero Labs

Công ty khuyên các nhà phát triển thực hiện các bước cụ thể: cố định tất cả cấu hình để tránh các thiết lập mặc định do LayerZero Labs kiểm soát; tăng số xác nhận khối trên mỗi chuỗi để giảm thiểu rủi ro tái tổ chức; cấu hình DVN với ít nhất hai (ưu tiên ba đến năm) bên độc lập; và xem xét vận hành DVN riêng của họ.

Công ty cũng đã liệt kê một số giả định về niềm tin và khả năng hoạt động liên tục. Các ứng dụng mặc định của LayerZero và DVN dựa vào một người xác thực duy nhất dựa vào tất cả niềm tin từ multisig của LayerZero Labs. Dịch vụ chuyển tiếp phí gas, như Essence và các executor của LayerZero, chỉ ảnh hưởng đến khả năng hoạt động.

Sau sự kiện, LayerZero Labs không còn hỗ trợ DVN trong cấu hình 1/1 nữa; thay vào đó, các mặc định đường dẫn đã được nâng cấp lên cấu hình 5/5 hoặc 3/3, nơi có thể, và phát triển một khách hàng DVN bằng Rust đang được tiến hành.

Ảnh hưởng của DeFi từ vụ vi phạm LayerZero

Phản ứng trước cuộc tấn công đã bị chỉ trích ngay lập tức vì cố gắng đổ trách nhiệm ban đầu cho các đối tác của mình. KelpDAO và Solv Protocol đã chuyển hệ thống của họ sang Chainlink, và Beefy, Ethena, BitGo, Lombard, cùng nhiều tổ chức khác đang xem xét lại các tích hợp của họ

Có những lo ngại về giảm khối lượng giao dịch cầu nối, lợi nhuận Stargate, và mua lại token $ZRO

LayerZero không thể cứu vãn nữa?

Sau vụ khai thác ~$300M rsETH, @LayerZero_Core đổ lỗi cho các đối tác thay vì nhận trách nhiệm, và họ đã cảm nhận hậu quả ngay lập tức. @KelpDAO & @SolvProtocol đã rời đi, cả hai đều chuyển sang @Chainlink.

Không chỉ vậy, các dự án dưới đây… pic.twitter.com/hkKHCHXGou

— Winter Soldier ❄️🙋🏻‍♂️ (@WinterSoldierxz) 9 tháng 5 năm 2026

LayerZero Labs cam kết 5.000 ETH cho kế hoạch cứu trợ DeFi United và thêm 5.000 ETH để duy trì các pool thanh khoản của Aave nhằm phản ứng với vụ tấn công. Tuy nhiên, vụ việc đã khơi mào một cuộc thảo luận rộng hơn về an ninh trong các giao thức chuỗi chéo, bất chấp lời xin lỗi đã được thể hiện và lời hứa cải thiện ngưỡng multisig, hiện đặt ở mức 7/10 sử dụng OneSig.

LayerZero Labs khẳng định rằng giao thức vẫn là một công cụ thiết yếu để thực hiện các giao dịch an toàn và quy mô lớn, nhưng sẽ cần phải chờ đợi vài tuần tới để xem các nhà phát triển và tổ chức sẽ di chuyển như thế nào.