Kelp DAO “quay lưng” với LayerZero sau vụ hack 293 triệu USD, chuyển hạ tầng sang Chainlink

Kelp DAO “quay lưng” với LayerZero sau vụ hack 293 triệu USD, chuyển hạ tầng sang Chainlink. Ảnh: Reuters

Cuộc khủng hoảng niềm tin với LayerZero

Kelp DAO, giao thức restaking đứng giữa tâm bão vụ tấn công 293 triệu USD hồi tháng trước, chính thức rời bỏ LayerZero để chuyển sang sử dụng hạ tầng cross-chain của Chainlink. Như vậy, Kelp DAO trở thành giao thức lớn đầu tiên công khai “chia tay” LayerZero kể từ sau vụ hack gây chấn động toàn ngành DeFi.

After the recent LayerZero exploit, we are taking steps to ensure rsETH is fully secure, which is why we are migrating to @chainlink CCIP.

From the April 18 incident, it is clear that LayerZero’s own infrastructure was exploited, resulting in $300M in losses across DeFi.… https://t.co/beIrfZZLlh

— Kelp (@KelpDAO) May 5, 2026

Theo thông báo mới nhất, Kelp DAO sẽ tích hợp Chainlink Cross-Chain Interoperability Protocol (CCIP) để thay thế hệ thống Omnichain Fungible Token (OFT) trước đây xây dựng trên LayerZero. Đồng thời, token rsETH cũng sẽ chuyển sang chuẩn Cross-Chain Token (CCT) mới của Chainlink.

Vụ tấn công xảy ra ngày 18/04 được cho là có liên hệ với nhóm hacker Lazarus của Triều Tiên. Tin tặc đã khai thác lỗ hổng trong mô hình xác thực “1-of-1 Decentralized Verifier Network (DVN)” của bridge LayerZero để bòn rút khoảng 116.500 rsETH khỏi Kelp DAO.

Ban đầu, LayerZero đổ lỗi cho bên ứng dụng triển khai sai cấu hình bảo mật. Tuy nhiên, Kelp DAO hiện đang phản ứng kịch liệt giả thuyết này, cho rằng đây là vấn đề kiến trúc của chính LayerZero chứ không phải lỗi riêng từ phía giao thức.

Theo Kelp DAO, mô hình xác minh đơn lẻ không phải cấu hình bất thường, mà từng là thiết lập mặc định được LayerZero khuyến nghị cho nhiều dự án. Giao thức thậm chí công bố ảnh chụp các cuộc trao đổi nội bộ nhằm chứng minh đội ngũ LayerZero từng phê duyệt cấu hình 1-of-1 DVN trước khi triển khai.

Một phân tích on-chain do Kelp DAO trích dẫn cho thấy khoảng 47% trong số 2.665 ứng dụng xây dựng trên LayerZero tại thời điểm xảy ra vụ hack vẫn sử dụng cùng mô hình single-verifier. Chỉ khoảng 5% ứng dụng triển khai cơ chế xác thực đa verifier từ 3-of-3 trở lên.

Trong tuyên bố chính thức, Kelp DAO cho biết việc chuyển sang Chainlink CCIP nhằm trực tiếp xử lý điểm yếu kiến trúc nằm ở trung tâm vụ hack. Khác với mô hình single-verifier gây tranh cãi của LayerZero, mạng oracle phi tập trung (DON) của Chainlink yêu cầu tối thiểu 16 node operator độc lập cùng xác thực giao dịch cross-chain. Chainlink cho biết hạ tầng của họ hiện đã hỗ trợ hơn 30.000 tỷ USD giá trị giao dịch cross-chain kể từ khi vận hành.

Kelp DAO cho biết họ đã kịp thời tạm dừng contract sau khi phát hiện vụ tấn công, qua đó ngăn chặn thêm khoảng 95 triệu USD tài sản có nguy cơ tiếp tục bị đánh cắp. Tuy nhiên, thiệt hại dây chuyền vẫn lây lan ra toàn bộ hệ sinh thái DeFi, nặng nề nhất phải kể đến Aave – đứng trước nguy cơ nợ xấu lên đến 230 triệu USD.

Sau khi chiếm được rsETH, hacker đã mang số tài sản này đi thế chấp trên nhiều lending protocol khác nhau. Theo Galaxy Research, kẻ tấn công sau đó vay ra khoảng 236 triệu USD dưới dạng WETH và wstETH. Aave sau đó buộc phải đóng băng các market liên quan rsETH/wrsETH/WETH, Curve cũng phải tạm dừng một số chức năng bridge tích hợp LayerZero để hạn chế hiệu ứng dây chuyền.

Áp lực ngày càng lớn lên ngách cross-chain

Song song với quá trình tái cấu trúc hạ tầng, các protocol DeFi hiện đang triển khai sáng kiến DeFi United nhằm chung tay khôi phục tài sản bảo chứng cho rsETH sau vụ hack. LayerZero đã đóng góp khoảng 10.000 ETH cho nỗ lực này, bao gồm 5.000 ETH tài trợ trực tiếp và 5.000 ETH cho Aave vay. Consensys, Circle, Justin Sun, Solana cùng nhiều dự án khác cũng tham gia giải cứu Aave. Tổng giá trị tài sản huy động được hiện đã vượt mốc 300 triệu USD.

Chưa dừng lại ở đó, vụ việc còn mở rộng sang mặt trận pháp lý. Cuối tuần qua, các nạn nhân được cho là từng thiệt hại trong những vụ hack liên quan Triều Tiên đã đệ đơn kiện Arbitrum DAO nhằm yêu cầu tịch thu 30.766 ETH (71 triệu USD) mà Hội đồng Bảo mật của dự án này đã đóng băng sau vụ Kelp DAO.

Arbitrum DAO trước đó đang tiến hành bỏ phiếu để giải phóng số ETH này cho sáng kiến DeFi United. Aave hôm thứ Hai cũng đã nộp đơn khẩn cấp nhằm hủy vụ kiện và gỡ bỏ lệnh phong tỏa tạm thời đối với số tài sản nói trên.

Vụ việc hiện được xem là một trong những cú sốc lớn nhất đối với ngành kể từ sau các vụ hack bridge lịch sử như Ronin hay Wormhole.

Coin68 tổng hợp