LayerZero vừa đăng tải bài viết xin lỗi công khai vào thứ Sáu về cách giao thức này xử lý hậu quả sau vụ khai thác Kelp DAO hồi tháng 4, đánh dấu sự thay đổi đáng kể trong giọng điệu so với báo cáo sự cố trước đó vốn mô tả giao thức “đã hoạt động đúng như thiết kế”.
“Chúng tôi đã làm rất tệ trong việc truyền thông suốt ba tuần qua”, LayerZero viết trong bài đăng trên blog, đồng thời đăng tải lên mạng xã hội X. “Chúng tôi muốn ưu tiên tính đầy đủ dưới dạng một báo cáo sự cố toàn diện, nhưng lẽ ra chúng tôi nên bắt đầu bằng sự trực tiếp”.
Theo giao thức, các node RPC nội bộ mà Mạng lưới Xác thực Phi tập trung (DVN) dựa vào để đọc trạng thái chuỗi nguồn đã bị nhóm Lazarus của Triều Tiên xâm nhập. Những kẻ tấn công đã làm nhiễm độc nguồn dữ liệu của các node này, đồng thời tấn công DDoS vào các nhà cung cấp RPC bên ngoài của LayerZero, buộc DVN phải chuyển sang cơ sở hạ tầng bị xâm phạm và xác nhận các giao dịch chưa từng xảy ra.
Bài viết thừa nhận một điểm mà LayerZero trước đó từng phản đối: giao thức không nên cho phép DVN đóng vai trò là trình xác thực duy nhất cho các giao dịch giá trị cao. “Chúng tôi tin rằng các nhà phát triển nên tự chọn cấu hình bảo mật của mình, nhưng chúng tôi đã mắc sai lầm khi cho phép DVN hoạt động như một DVN 1/1 cho các giao dịch giá trị cao”, công ty viết. “Chúng tôi không giám sát những gì DVN của mình đang bảo vệ, điều này tạo ra rủi ro mà chúng tôi đơn giản là không nhìn thấy”.
Cách diễn đạt này đại diện cho một sự nhượng bộ đáng kể. Tuyên bố sự cố ban đầu của LayerZero quy trách nhiệm hoàn toàn cho lựa chọn cấu hình của Kelp DAO, mô tả thiết lập DVN 1/1 là quyết định mà Kelp đưa ra trái với hướng dẫn.
Kelp DAO đã công khai bác bỏ tuyên bố đó, chỉ ra tài liệu, hướng dẫn bắt đầu nhanh và ví dụ dành cho nhà phát triển của chính LayerZero làm bằng chứng cho thấy thiết lập trình xác thực duy nhất là khuyến nghị onboarding mặc định của nền tảng. Một phân tích từ Dune được Kelp trích dẫn cho thấy 47% trong khoảng 2.665 hợp đồng OApp đang hoạt động trên LayerZero đang chạy cùng cấu hình tại thời điểm xảy ra vụ tấn công.
LayerZero cho biết vụ khai thác chỉ ảnh hưởng đến một ứng dụng duy nhất, chiếm khoảng 0,14% tổng số ứng dụng trên mạng và khoảng 0,36% giá trị tài sản sử dụng LayerZero. Giao thức cũng tiết lộ một sự cố bảo mật vận hành chưa từng được báo cáo trước đây: khoảng ba năm rưỡi trước, một trong những người ký multisig của LayerZero đã sử dụng ví cứng sản xuất để thực hiện giao dịch cá nhân. Người ký này đã bị loại khỏi multisig, các ví được thay thế và công ty đã bổ sung phần mềm phát hiện bất thường cho từng thiết bị ký.
LayerZero cũng công bố hàng loạt thay đổi bảo mật, bao gồm chấm dứt hỗ trợ cho cấu hình DVN 1/1. Các cài đặt mặc định trên tất cả các pathway đang được chuyển đổi để yêu cầu ít nhất năm trình xác thực khi có thể, với mức tối thiểu là ba trên các chuỗi chỉ có sẵn ba DVN. Công ty cũng đang xây dựng một client DVN thứ hai viết bằng Rust để đa dạng hóa client và đã cấu hình lại thiết lập RPC để cho phép kiểm soát quorum chi tiết hơn giữa các nhà cung cấp node nội bộ và bên ngoài.
Về phía cơ sở hạ tầng, LayerZero cho biết họ dự kiến nâng ngưỡng multisig từ 3/5 lên 7/10 bằng OneSig, công cụ multisig mã nguồn mở mà công ty giới thiệu năm ngoái. OneSig cho phép người ký tải xuống giao dịch và băm chúng cục bộ trước khi ký, ngăn backend chèn các giao dịch trái phép.
Lời xin lỗi được đưa ra vào thời điểm khó khăn đối với LayerZero. Hai giao thức lớn đã chuyển cơ sở hạ tầng cross-chain của họ sang CCIP của Chainlink trong những tuần kể từ vụ khai thác. Kelp DAO thông báo rút lui vào đầu tuần này, trở thành giao thức lớn đầu tiên rời LayerZero kể từ vụ tấn công. Solv Protocol tiếp bước, thông báo sẽ chuyển hơn 700 triệu USD tokenized bitcoin ra khỏi LayerZero, viện dẫn lo ngại về bảo mật.
Trong khi đó, sáng kiến phục hồi DeFi United được hình thành sau vụ khai thác đã huy động được hơn 300 triệu USD bằng ETH và stablecoin. LayerZero đóng góp 10.000 ETH, chia đều giữa khoản quyên góp 5.000 ETH và khoản vay 5.000 ETH cho Aave, nền tảng đang đối mặt với khoản nợ xấu ước tính từ 124 triệu USD đến 230 triệu USD từ sự cố.
Đối với cộng đồng crypto Việt Nam, vụ việc này nhấn mạnh tầm quan trọng của việc kiểm tra kỹ cấu hình bảo mật khi sử dụng các giao thức cross-chain, đặc biệt với các giao dịch giá trị lớn. Người dùng nên ưu tiên các thiết lập đa xác thực và theo dõi cập nhật bảo mật thường xuyên từ nhà phát triển.
Trong bối cảnh thị trường DeFi tiếp tục phát triển, khả năng cân bằng giữa tính linh hoạt cho nhà phát triển và tiêu chuẩn bảo mật tối thiểu sẽ là yếu tố then chốt quyết định lòng tin của người dùng đối với các giao thức cơ sở hạ tầng.
Dù kết quả điều tra cuối cùng ra sao, lời xin lỗi công khai của LayerZero tiếp tục khẳng định tầm quan trọng của minh bạch và trách nhiệm giải trình trong hệ sinh thái crypto, đồng thời mở ra đối thoại cần thiết về tương lai của bảo mật cross-chain trong kỷ nguyên đa chuỗi.



