Vụ tấn công Kelp DAO trị giá 290 triệu USD liên quan đến Lazarus Group và bảo mật cầu nối yếu

Những điểm chính

• Khoảng 290–293 triệu USD đã bị đánh cắp từ Kelp DAO sau một cuộc tấn công tinh vi vào các nút RPC được kết nối với hệ thống xác minh của LayerZero
• Kelp DAO bị cáo buộc đã bỏ qua các khuyến nghị bảo mật của LayerZero về việc triển khai nhiều trình xác minh, chỉ hoạt động với một trình xác minh duy nhất
• Bằng chứng sơ bộ chỉ ra Lazarus Group của Triều Tiên là thủ phạm đứng sau vụ vi phạm bảo mật này
• Chín nền tảng DeFi, đáng chú ý nhất là Aave, đã chịu thiệt hại liên hoàn, với Tổng giá trị bị khóa (TVL) của Aave giảm 6 tỷ USD
• Trong tương lai, LayerZero đã tuyên bố sẽ từ chối hỗ trợ các ứng dụng hoạt động với cấu hình trình xác minh đơn lẻ

Trong một trong những vụ vi phạm bảo mật tài chính phi tập trung quan trọng nhất năm 2026, Kelp DAO đã chịu tổn thất tổng cộng khoảng 290–293 triệu USD trong một cuộc tấn công vào cuối tuần. LayerZero, giao thức nhắn tin cross-chain được sử dụng trong sự cố, đã quy lỗ hổng cho các quyết định cơ sở hạ tầng của Kelp.

Vụ vi phạm tập trung vào cơ chế chuyển token rsETH của Kelp qua các mạng blockchain khác nhau. Hoạt động với kiến trúc trình xác minh đơn lẻ có nghĩa là chỉ cần một cơ quan duy nhất để xác thực các giao dịch cross-chain. Theo LayerZero, công ty đã cảnh báo rõ ràng với Kelp về cấu hình này và thúc giục áp dụng nhiều nguồn xác minh độc lập.

Các hacker đã xâm nhập hai nút remote procedure call—các máy chủ chuyên dụng cho phép phần mềm tương tác với dữ liệu blockchain. Những nút hợp pháp này đã được thay thế bằng các phiên bản bị xâm phạm cung cấp thông tin gian lận cho hệ thống xác minh của LayerZero trong khi vẫn duy trì vẻ ngoài bình thường với các thành phần cơ sở hạ tầng khác.

Vì quy trình xác minh của LayerZero cũng tham khảo các nút bên ngoài hợp pháp, những kẻ tấn công đã phát động chiến dịch từ chối dịch vụ phân tán để vô hiệu hóa các hệ thống đó. Chiến thuật này đã chuyển hướng lưu lượng mạng qua cơ sở hạ tầng bị xâm phạm trong khoảng thời gian 80 phút từ 10:20 a.m. đến 11:40 a.m. Giờ Thái Bình Dương vào thứ Bảy.

Khi cơ chế dự phòng được kích hoạt, các nút độc hại đã truyền xác nhận một giao dịch hợp pháp cho trình xác minh. Giao thức cầu nối của Kelp sau đó đã phát hành 116,500 rsETH vào ví của những kẻ tấn công. Phần mềm thù địch sau đó tự xóa, xóa sạch tất cả bằng chứng pháp y từ các máy chủ bị ảnh hưởng.

Tác động liên hoàn trên toàn Hệ sinh thái DeFi

Các token rsETH bị đánh cắp đã được triển khai làm Tài sản thế chấp trên nhiều nền tảng cho vay, cho phép những kẻ tấn công rút các tài sản thực. Aave, nền tảng cho vay phi tập trung chi phối, hấp thụ thiệt hại lớn nhất.

Aave thấy mình nắm giữ tài sản thế chấp rsETH không thanh khoản trong khi các tài sản có giá trị như ETH đã bị rút ra thông qua cơ chế vay mượn. Token gốc của Aave giảm khoảng 15% trong vòng 24 giờ, trong khi giao thức trải qua khoảng 6 tỷ USD rút tiền khi người tham gia vội vã rút quỹ của họ.

Không ít hơn chín ứng dụng DeFi đã chịu thiệt hại, bao gồm Fluid, Compound Finance, SparkLend và Euler. Công ty an ninh mạng Cyvers mô tả sự cố là "sự kiện lây lan cross-protocol" vượt xa lỗ hổng của một nền tảng đơn lẻ.

Với mức độ tin cậy sơ bộ, LayerZero đã kết nối cuộc tấn công này với Lazarus Group của Triều Tiên, cụ thể là bộ phận TraderTraitor. Tổ chức tương tự này đã liên quan đến vụ vi phạm Drift Protocol trị giá 285 triệu USD vào ngày 1 tháng 4, cho thấy Lazarus đã rút hơn 575 triệu USD từ tài chính phi tập trung trong vòng 18 ngày sử dụng hai phương pháp tấn công khác nhau.

Điều chỉnh Giao thức Bảo mật

LayerZero báo cáo không có bằng chứng về lỗ hổng lan sang các ứng dụng hoạt động với kiến trúc đa trình xác minh. Công ty đã khôi phục dịch vụ xác minh và công bố chính sách vĩnh viễn từ chối xử lý thông điệp cho bất kỳ ứng dụng nào sử dụng cấu hình trình xác minh đơn lẻ.

Người sáng lập Curve Finance Michael Egorov nhấn mạnh rằng vụ vi phạm này chứng minh rủi ro cố hữu của việc phụ thuộc vào nguồn xác minh giao dịch đơn lẻ. Ông cũng cảnh báo không nên sử dụng cơ sở hạ tầng cross-chain trừ khi thực sự cần thiết về mặt vận hành.

Kelp vẫn im lặng về phiên bản sự kiện của LayerZero và chưa giải thích tại sao giao thức tiếp tục hoạt động với kiến trúc trình xác minh đơn lẻ bất chấp nhận được cảnh báo bảo mật rõ ràng.

Bài viết $290M Kelp DAO Breach Tied to Lazarus Group and Weak Bridge Security xuất hiện đầu tiên trên Blockonomi.