🚨 Kelp DAO bị hack $290M: LayerZero đổ lỗi Kelp, nghi Lazarus Triều Tiên đứng sau
Ngày 18/4 hacker vừa rút khoảng $290M từ Kelp DAO qua cầu nối chạy trên LayerZero. Đây đang là vụ hack DeFi lớn nhất 2026, và mình thấy đây là case study rất đáng mổ xẻ.
Cách tấn công khá tinh vi:
→ Hacker xâm nhập 2 node RPC mà verifier của LayerZero đang dùng, cài phần mềm giả mạo
→ Phần mềm chỉ nói dối riêng với verifier (báo giao dịch giả là thật), vẫn trả dữ liệu đúng cho mọi hệ thống khác nên không ai nghi ngờ
→ Song song đó tung DDoS đánh sập các node dự phòng, khiến verifier không còn nguồn nào để kiểm tra chéo
Kết quả: verifier chỉ còn 2 node đã bị thao túng, duyệt giao dịch giả, tiền bị rút sạch.
LayerZero nói lỗi tại Kelp vì đâu?
→ Kelp chỉ dùng 1 bộ xác minh duy nhất (cấu hình 1/1 DVN)
→ Hình dung đơn giản: thay vì 3 người cùng ký duyệt chuyển tiền, Kelp chỉ nhờ 1 người, hacker lừa được người đó là xong
→ LayerZero khẳng định đã nhiều lần khuyên Kelp dùng đa DVN độc lập, nhưng Kelp không nghe
Điều khiến mình lạnh gáy là cái tên đứng sau. LayerZero cho rằng nhiều khả năng là nhóm Lazarus Triều Tiên (đơn vị TraderTraitor), cũng chính là nhóm đã hack Drift Protocol hôm 1/4. Tổng cộng trong 18 ngày, Lazarus rút hơn $575M từ DeFi bằng hai kiểu tấn công hoàn toàn khác nhau.
📊 Nhận định cá nhân:
→ Đây là lý do vì sao tuần qua mình thấy $AXL pump 30%, narrative cross-chain security không phải trò đùa
→ Rủi ro thật sự không nằm ở bản thân LayerZero mà ở cách dev config bảo mật, 1/1 DVN về cơ bản là tự nguyện mở cửa cho hacker
→ Với nhà đầu tư DeFi, mình nghĩ đây là lúc bắt đầu đọc kỹ spec bảo mật của từng giao thức, không chỉ nhìn APY
→ LayerZero đã tuyên bố từ chối phục vụ bất kỳ dự án nào vẫn dùng 1/1 DVN, đây là bước đi đúng
Kelp DAO vẫn chưa lên tiếng phản hồi. Bạn đang hold token DeFi nào có bridge qua LayerZero không? Mình nghĩ nên kiểm tra DVN config trước khi ngủ ngon.