LayerZero đã đăng lời xin lỗi công khai về cách họ xử lý hậu quả sau vụ hack ngày 18/4, khiến khoảng 292 triệu USD rsETH bị rút khỏi cầu nối cross-chain của Kelp DAO. Động thái này cho thấy LayerZero đã “đổi giọng” đáng kể so với bài tổng kết trước đó, khi họ từng nói hệ thống của mình “hoạt động đúng như thiết kế”.
Trong bài viết (được đăng trên blog và chia sẻ lại lên X), LayerZero thừa nhận họ đã truyền thông rất kém trong vài tuần qua. Công ty nói họ quá chú trọng viết một bản báo cáo đầy đủ, nhưng lẽ ra cần nói thẳng và rõ ràng ngay từ đầu.
Về nguyên nhân, LayerZero cho biết một phần hạ tầng dữ liệu mà mạng xác minh của họ sử dụng đã bị nhóm hacker Lazarus (Triều Tiên) xâm nhập. Cụ thể, các “RPC node” nội bộ đã bị làm sai lệch dữ liệu. Cùng lúc, hacker còn tấn công DDoS vào các nhà cung cấp RPC bên ngoài, khiến hệ thống xác minh buộc phải dựa nhiều hơn vào nguồn dữ liệu đã bị can thiệp – và từ đó “ký xác nhận” cho những giao dịch thực tế không hề xảy ra. Trước đó, LayerZero từng quy vụ việc cho nhánh Lazarus có tên TraderTraitor.
Điểm đáng chú ý nhất trong lần lên tiếng này là LayerZero công khai nhận phần trách nhiệm mà trước đây họ né tránh: họ không nên để DVN (mạng xác minh phi tập trung của LayerZero) trở thành “bên xác thực duy nhất” cho các giao dịch giá trị lớn. LayerZero nói họ tin các dự án nên tự chọn cấu hình bảo mật, nhưng thừa nhận đã sai khi để DVN của mình hoạt động theo kiểu “1/1” (chỉ có một bên xác minh) trong các trường hợp rủi ro cao. Nói cách khác, họ đã không giám sát đủ chặt việc DVN của mình đang bảo vệ những gì, tạo ra một “điểm yếu” mà họ không nhận ra.
Thừa nhận này trái ngược với thông điệp ban đầu của LayerZero, khi họ gần như đổ lỗi cho Kelp DAO vì chọn cấu hình “chỉ một bên xác minh”, và cho rằng đó là lựa chọn đi ngược khuyến nghị.
Kelp DAO sau đó phản bác, nói rằng tài liệu và hướng dẫn bắt đầu của chính LayerZero cho thấy cấu hình một-bên-xác-minh vốn là thiết lập mặc định khi dự án tích hợp. Kelp còn dẫn một phân tích trên Dune cho thấy tại thời điểm bị tấn công, khoảng 47% trong số gần 2,665 ứng dụng (OApp) đang hoạt động trên LayerZero cũng dùng cấu hình tương tự.
LayerZero cho biết vụ việc chỉ ảnh hưởng một ứng dụng, chiếm khoảng 0.14% tổng số ứng dụng trên mạng và khoảng 0.36% tổng giá trị tài sản đi qua LayerZero. Công ty cũng nói kể từ ngày 19/4 đã có hơn 9 tỷ USD tiếp tục được chuyển qua giao thức.
