Một vụ tấn công trị giá 290 triệu đô la vào cầu nối xuyên chuỗi của KelpDAO vào ngày 18 tháng 4, mà LayerZero quy cho nhóm Lazarus của Triều Tiên, đã gây chấn động DeFi và xóa sổ hơn 13 tỷ đô la tổng giá trị bị khóa trên các giao thức trong vòng 48 giờ.
Những kẻ tấn công đã rút 116.500 rsETH, trị giá khoảng 290 triệu đô la, từ cầu nối xuyên chuỗi do LayerZero hỗ trợ của KelpDAO vào ngày 18 tháng 4, trong vụ mà CoinDesk gọi là vụ tấn công DeFi lớn nhất năm 2026 cho đến nay. LayerZero, với hạ tầng làm nền tảng cho cầu nối, đã tuyên bố vào thứ Hai rằng “các chỉ số sơ bộ cho thấy vụ việc được quy cho một tác nhân nhà nước rất tinh vi, có khả năng là nhóm Lazarus của Triều Tiên.”
Vụ tấn công đã hoạt động bằng cách xâm nhập hai nút gọi thủ tục từ xa (remote procedure call nodes) mà trình xác minh của LayerZero dựa vào để xác nhận các giao dịch xuyên chuỗi, sau đó tràn ngập các nút dự phòng bằng lưu lượng truy cập rác để buộc chuyển đổi sang các điểm cuối bị nhiễm độc. Khi trình xác minh chấp thuận một giao dịch giả mạo, cầu nối đã giải phóng 290 triệu đô la rsETH đến một địa chỉ do kẻ tấn công kiểm soát. Phần mềm độc hại sau đó đã tự hủy, xóa sạch các tệp nhị phân và nhật ký để gây khó khăn cho việc điều tra pháp y. Như crypto.news đã báo cáo, vụ tấn công đã gây ra dòng tiền chảy ra hơn 10 tỷ đô la chỉ riêng từ Aave, với tổng giá trị bị khóa của giao thức cho vay này giảm từ 45,8 tỷ đô la xuống còn 35,7 tỷ đô la khi người dùng vội vã rút tiền. UPI báo cáo rằng hơn 13 tỷ đô la đã bị xóa khỏi tổng giá trị bị khóa trên các nền tảng DeFi trong hai ngày sau vụ vi phạm.
Một cuộc tranh cãi đã nổ ra về việc ai chịu trách nhiệm cho lỗ hổng bảo mật đã tạo điều kiện cho vụ tấn công. LayerZero cho biết KelpDAO đã chọn vận hành cấu hình mạng lưới xác minh phi tập trung 1-trong-1, một điểm lỗi duy nhất mà họ đã nhiều lần cảnh báo, và tuyên bố sẽ không còn ký các tin nhắn cho bất kỳ ứng dụng nào sử dụng thiết lập đó. KelpDAO đã phản bác, nói với CoinDesk rằng cấu hình của họ tuân theo các mặc định được LayerZero ghi lại và rằng trình xác thực bị xâm nhập là một phần trong hạ tầng của chính LayerZero. Như crypto.news đã ghi lại, các nhà nghiên cứu bảo mật độc lập bao gồm một nhà phát triển của Yearn Finance đã phát hiện ra rằng mã triển khai công khai của LayerZero đi kèm với các mặc định xác minh nguồn đơn trên mọi chuỗi chính, làm suy yếu tuyên bố của công ty rằng KelpDAO đã đi chệch khỏi hướng dẫn.
Vụ tấn công KelpDAO là vụ vi phạm DeFi lớn thứ hai liên quan đến Lazarus chỉ riêng trong tháng 4, sau vụ tấn công Drift Protocol trị giá 285 triệu đô la vào ngày 1 tháng 4, nâng tổng số tiền mà nhóm này lấy được từ DeFi trong tháng lên hơn 575 triệu đô la. Kẻ tấn công kể từ đó đã bắt đầu rửa số tiền bị đánh cắp, chuyển tài sản qua Arbitrum và vào các stablecoin dựa trên Tron, như crypto.news đã theo dõi. Jefferies đã cảnh báo rằng các vụ tấn công lớn ở quy mô này có thể tạm thời làm chậm lại sự quan tâm của Phố Wall đối với các dự án token hóa, khi các tổ chức đánh giá lại rủi ro bảo mật tiềm ẩn trong cơ sở hạ tầng cầu nối DeFi. LayerZero cho biết họ đã xác nhận không có lây lan sang các ứng dụng khác đang chạy cấu hình đa trình xác minh, nhưng đã buộc phải di chuyển toàn bộ giao thức khỏi các thiết lập trình xác thực đơn lẻ.
LayerZero cho biết họ đang làm việc với KelpDAO, Security Alliance và các cơ quan thực thi pháp luật để truy tìm số tiền bị đánh cắp, mặc dù việc kẻ tấn công sử dụng các công cụ bảo mật đã làm phức tạp đáng kể các nỗ lực phục hồi.
