LayerZero cho rằng hacker Triều Tiên đứng sau vụ hack Kelp DAO 293 triệu USD

Vụ hack cầu nối cross-chain Kelp DAO đang trở thành tâm điểm mới nhất của thị trường DeFi khi nền tảng LayerZero công bố kết quả điều tra ban đầu, cho rằng nhóm hacker nhà nước Triều Tiên Lazarus nhiều khả năng đứng sau vụ khai thác trị giá gần 300 triệu USD. Vụ tấn công diễn ra ngày 18/4 đã khiến Kelp DAO mất 116.500 rsETH, tương đương khoảng 292 triệu USD, trở thành vụ hack DeFi lớn nhất từ đầu năm 2026 và ngay lập tức tạo hiệu ứng domino trên toàn thị trường.

Theo phân tích của LayerZero, dấu hiệu ban đầu cho thấy thủ phạm là một tác nhân cấp quốc gia với mức độ tinh vi cao, rất có thể thuộc Lazarus Group, cụ thể là nhánh TraderTraitor – nhóm từng bị cáo buộc đứng sau hàng loạt vụ tấn công crypto lớn trong nhiều năm qua. Cách thức tấn công lần này cho thấy mức độ chuẩn bị kỹ lưỡng và hiểu sâu về hạ tầng cross-chain. Hacker đã tiếp cận danh sách các RPC node mà mạng xác minh DVN của LayerZero sử dụng, sau đó tiến hành “đầu độc” hai node để buộc chúng phát đi thông điệp cross-chain giả mạo. Đồng thời, một cuộc tấn công DDoS được triển khai nhằm vào các node còn “sạch”, khiến hệ thống xác minh buộc phải phụ thuộc vào các node bị kiểm soát.

Điểm mấu chốt khiến cuộc tấn công thành công nằm ở cấu hình vận hành của Kelp DAO. Dự án sử dụng thiết lập DVN 1/1 – tức chỉ có một hệ thống xác minh duy nhất mà không có lớp dự phòng. Điều này tạo ra “điểm lỗi đơn” cực kỳ nguy hiểm: khi thông điệp giả được gửi tới, không tồn tại bất kỳ bên xác minh độc lập nào để phát hiện và từ chối. LayerZero cho biết họ từng khuyến nghị Kelp DAO đa dạng hóa DVN để giảm rủi ro, nhưng dự án vẫn lựa chọn mô hình 1/1. Sau sự cố, LayerZero tuyên bố sẽ ngừng ký thông điệp cho bất kỳ ứng dụng nào tiếp tục dùng cấu hình DVN đơn lẻ trong tương lai.

Mặc dù LayerZero khẳng định không có sự lây lan rủi ro sang các tài sản hoặc ứng dụng khác sử dụng cấu hình đa DVN, tác động thị trường vẫn lan rộng cực nhanh. Hacker đã chuyển rsETH đánh cắp sang Aave V3 và dùng làm tài sản thế chấp để vay WETH, gây nguy cơ phát sinh nợ xấu trên nền tảng lending hàng đầu này. Aave lập tức đóng băng thị trường rsETH trên cả V3 và V4 để hạn chế rủi ro, đồng thời nhấn mạnh tài sản này không còn sức vay. Tuy vậy, tâm lý hoảng loạn vẫn lan rộng khi dữ liệu cho thấy hơn 10 tỷ USD đã bị rút khỏi Aave chỉ trong thời gian ngắn sau vụ hack, khiến tổng giá trị cung cấp trên giao thức giảm mạnh từ 45,8 tỷ USD xuống còn 35,7 tỷ USD. Một số nhân vật trong hệ sinh thái Aave thậm chí kêu gọi người dùng rút WETH ngay lập tức để phòng ngừa rủi ro lan truyền.

Tác động dây chuyền chưa dừng lại ở đó. Hàng loạt giao thức lớn đã tạm dừng cầu nối OFT sử dụng LayerZero để đánh giá lại an ninh, bao gồm Ethena, ether.fi, Tron DAO và Curve Finance. Tổng giá trị khóa (TVL) của toàn bộ DeFi giảm khoảng 7% chỉ trong 24 giờ, xuống còn khoảng 86,3 tỷ USD từ mức gần 100 tỷ USD trước thời điểm xảy ra sự cố. Đây được xem là một cú sốc niềm tin mới đối với người dùng DeFi, đặc biệt trong bối cảnh lợi suất đang giảm dần so với giai đoạn thị trường tăng trưởng trước đây.

Giới nghiên cứu nhận định vụ việc tiếp tục phơi bày những lỗ hổng cấu trúc của DeFi, đặc biệt ở hạ tầng cross-chain – nơi bảo mật phụ thuộc vào nhiều lớp trung gian nhưng đôi khi lại tập trung vào một số điểm then chốt. Thời điểm xảy ra vụ hack cũng bị đánh giá là “nhạy cảm”, khi thị trường vừa trải qua nhiều sự cố bảo mật khác trong năm qua, khiến người dùng ngày càng đặt câu hỏi liệu lợi suất thấp có xứng đáng với rủi ro ngày càng lớn.