Kelp Các tổ chức tự trị phi tập trung (DAO) tuyên bố rằng nhân viên của LayerZero đã phê duyệt thiết lập xác minh 1-trong-1, một quyết định mà LayerZero sau đó đã viện dẫn là lý do khiến một kẻ tấn công có liên hệ với Triều Tiên đã rút khoảng 292 triệu đô la từ cầu nối rsETH của Kelp.
Tuyên bố này trái ngược với báo cáo phân tích sự cố ngày 19 tháng 4 của LayerZero, trong đó cho biết ứng dụng rsETH của Kelp dựa vào LayerZero Labs làm đơn vị xác minh duy nhất và cấu hình này "mâu thuẫn trực tiếp" với mô hình đa DVN được LayerZero khuyến nghị.
Bản ghi nhớ của Kelp cho biết nhân viên của LayerZero đã xem xét cấu hình của họ trong hơn 2,5 năm và trong tám cuộc thảo luận tích hợp, mà không hề cảnh báo rằng thiết lập 1-of-1 tiềm ẩn rủi ro bảo mật nghiêm trọng.
Bản ghi nhớ, có tiêu đề “Làm rõ sự thật xung quanh vụ tấn công cầu nối LayerZero”, bao gồm các ảnh chụp màn hình các cuộc trao đổi trên Telegram chứng minh rằng LayerZero đã biết và không phản đối thiết lập trình xác minh của Kelp.
Một ảnh chụp màn hình cho thấy một thành viên nhóm LayerZero nói: “Không vấn đề gì khi sử dụng cài đặt mặc định cả — chỉ cần gắn thẻ [đã lược bỏ] ở đây vì anh ấy đã đề cập rằng bạn có thể muốn sử dụng thiết lập DVN tùy chỉnh để xác minh tin nhắn, nhưng tôi sẽ để việc đó cho nhóm của bạn!” Kelp nói rằng “cài đặt mặc định” được đề cập trong cuộc trao đổi là cấu hình DVN độc nhất vô nhị của LayerZero Labs, sau này được LayerZero trích dẫn là thiết lập cấp ứng dụng cho phép khai thác lỗ hổng.
CoinDesk không thể xác thực ảnh chụp màn hình một cách độc lập.
Các mẫu của LayerZero
Kelp cũng chỉ ra phạm vi chương trình săn lỗi nhận tiền thưởng của LayerZero, hướng dẫn nhanh OFT và các ví dụ dành cho nhà phát triển như bằng chứng cho thấy LayerZero coi các lựa chọn mạng xác minh là cấu hình cấp ứng dụng trong khi chỉ cho người xây dựng thiết lập một DVN duy nhất.
Phạm vi chương săn lỗi nhận tiền thưởng được LayerZero công bố trên Immunefi không bao gồm phần thưởng cho "các tác động đến chính OApps do cấu hình sai của chúng gây ra", bao gồm cả mạng lưới xác minh và trình thực thi.
Hướng dẫn nhanh LayerZero OFT và cấu hình ví dụ OFT chính thức trên GitHub đều cho thấy LayerZero Labs là DVN bắt buộc, không có DVN tùy chọn nào được thiết lập.
Bản ghi nhớ của Kelp trích dẫn một bài đăng ngày 19 tháng 4 của nhà nghiên cứu bảo mật Sujith Somraaj từ Spearbit, trong đó Somraaj cho biết anh đã gửi báo cáo săn lỗi nhận tiền thưởng mô tả cùng một kiểu tấn công và LayerZero đã từ chối nó.
" Săn lỗi nhận tiền thưởng của tôi: không phải là lỗ hổng, yêu cầu tất cả các DVN," Somraaj viết trên X. "Cách triển khai của họ: loại bỏ phần 'tất cả'. Tin tặc: nhận được phần thưởng 295 triệu đô la." Theo hồ sơ Cantina của mình, Somraaj từng là kiểm toán viên của LayerZero.
Kelp chuyển sang Chainlink
Kelp cũng cho biết họ đang chuyển rsETH từ LayerZero sang Giao thức Tương tác Chuỗi chéo của Chainlink. Sự chuyển đổi này đưa rsETH từ tiêu chuẩn OFT của LayerZero sang Tiêu chuẩn token Chuỗi chéo của Chainlink.
Vụ tấn công đã rút 116.500 rsETH, trị giá khoảng 292 triệu đô la, từ cầu nối do LayerZero cung cấp của Kelp. Hai giao dịch giả mạo khác với tổng trị giá hơn 100 triệu đô la đã được ký và xử lý bởi LayerZero Labs DVN trước khi Kelp tạm dừng các hợp đồng của mình, theo thông báo từ giao thức.
LayerZero cho biết những kẻ tấn công có thể có liên hệ với nhóm Lazarus của Triều Tiên, những kẻ đã truy cập vào danh sách các RPC được LayerZero Labs DVN sử dụng, xâm nhập vào hai nút RPC và thay thế các tệp nhị phân đang chạy trên chúng.
Sau đó, những kẻ tấn công đã phát động một cuộc tấn công Tấn công từ chối dịch vụ (DDoS) nhằm vào các nút RPC không bị xâm phạm, buộc phải chuyển đổi dự phòng sang các nút bị nhiễm độc. LayerZero cho biết DVN sau đó đã xác nhận các giao dịch chưa từng xảy ra.
Kelp lập luận rằng cấu hình 1-of-1 rất phổ biến. CoinGecko, trích dẫn dữ liệu Dune Analytics , cho biết 47% trong số khoảng 2.665 hợp đồng LayerZero OApp đang hoạt động sử dụng cấu hình DVN 1-of-1 trong khoảng thời gian 90 ngày kết thúc vào khoảng ngày 22 tháng 4, với hơn 4,5 tỷ đô la giá trị thị trường liên quan chịu rủi ro tương tự.
Báo cáo phân tích sau sự cố của LayerZero cho biết giao thức "hoạt động chính xác như dự định". Công ty này cho biết họ sẽ không còn ký tin nhắn cho bất kỳ ứng dụng nào chạy cấu hình 1-of-1, một thay đổi chính sách có hiệu lực sau vụ tấn công.
Kelp cáo buộc rằng nhóm của họ phải báo cáo lỗ hổng cho LayerZero thay vì ngược lại, điều này đặt ra câu hỏi về khả năng giám sát của LayerZero.
Bản ghi nhớ cũng cáo buộc có sự trùng lặp đáng kể về địa chỉ được cấp quyền ADMIN_ROLE trên cả LayerZero Labs DVN và Nethermind DVN, liệt kê mười địa chỉ vào ngày 8 tháng 4 năm 2026 và năm địa chỉ khác vào ngày 6 tháng 2 năm 2025. CoinDesk chưa xác minh độc lập tuyên bố trên chuỗi này.
LayerZero không phản hồi yêu cầu bình luận từ phía nhà xuất bản.
Theo tài liệu, trên ít nhất hai chuỗi khối tích hợp là Dinari và SKALE, chứng chỉ DVN của LayerZero Labs vẫn được liệt kê là chứng chỉ duy nhất khả dụng.
