LayerZero khẳng định không bị hack, Aave tiếp tục đóng băng rsETH sau vụ tấn công 290 triệu USD vào KelpDAO

Theo CoinDesk đưa tin ngày 20 (giờ địa phương), dự án **“LayerZero(LayerZero)”** khẳng định vụ tấn công nhắm vào **“KelpDAO rsETH”** với quy mô khoảng 290 triệu USD chỉ xuất phát từ cấu hình **“đơn lẻ DVN”** của rsETH, không phải do lỗ hổng chung của giao thức LayerZero. Nền tảng cho vay **“Aave(AAVE)”** cũng tuyên bố tài sản rsETH trên giao thức vẫn được bảo chứng đầy đủ, nhưng vẫn duy trì biện pháp đóng băng rút tiền ở một số thị trường để hạn chế rủi ro lan rộng.

Theo LayerZero, cuộc tấn công lần này tập trung vào cách cấu hình tài sản rsETH của **“KelpDAO”**, chứ không lan sang các tài sản hay ứng dụng khác đang dùng hạ tầng cross-chain của **“LayerZero”**. Đơn vị này nhấn mạnh: vụ việc “hoàn toàn bị giới hạn trong cấu hình rsETH của KelpDAO” và “không có sự lây nhiễm sang các tài sản hay ứng dụng khác”. Điểm mấu chốt nằm ở việc rsETH không áp dụng mô hình đa trình xác thực, mà phụ thuộc vào một nguồn xác thực duy nhất – cấu trúc **“1-of-1 DVN”** chỉ dựa trên LayerZero Labs làm đơn vị xác thực.

LayerZero cho biết kẻ tấn công không trực tiếp xâm nhập DVN, mà khai thác điểm yếu ở tầng hạ tầng RPC, đầu độc dữ liệu và chuyển một số node sang trạng thái độc hại để giả mạo thông điệp. Công ty đánh giá đây là cuộc tấn công tinh vi, có khả năng liên quan đến tác nhân nhà nước, và nhắc tới nhóm tin tặc **“TraderTraitor (Lazarus)”** như một cái tên cần được xem xét. Tuy nhiên, theo nhận định của LayerZero, nguyên nhân khiến thiệt hại phình to vẫn xuất phát từ cách **thiết kế ứng dụng** – cụ thể là việc chấp nhận phụ thuộc vào một DVN đơn lẻ, thay vì mô hình nhiều trình xác thực độc lập.

Ở phía giao thức cho vay, **“Aave(AAVE)”** thông báo trên X rằng rsETH được dùng làm tài sản thế chấp trên mạng chính Ethereum vẫn đang “được bảo chứng đầy đủ” và chưa ghi nhận tình trạng thiếu hụt tài sản. Dù vậy, để đảm bảo an toàn hệ thống, Aave quyết định tiếp tục **đóng băng rsETH** trên Aave V3 và V4. Bên cạnh đó, các tài sản **WETH** liên quan đến Ethereum, **Arbitrum(ARB)**, **Base**, **Mantle(MNT)** và **Linea** cũng đang trong trạng thái **bị hạn chế** cho đến khi quá trình kiểm chứng bảo mật hoàn tất.

bình luận Động thái này cho thấy Aave muốn tách bạch giữa vấn đề **an toàn tài sản hiện tại** và **rủi ro cấu trúc** trong tương lai: dù rsETH chưa gây ra lỗ hổng thanh khoản trên giao thức, việc duy trì hạn chế giao dịch được xem là lớp phòng thủ chủ động trước các tình huống bất ngờ.

Với tổng vốn hóa **thị trường tiền mã hóa** hiện quanh mức 2.500 tỷ USD, tác động tức thời từ vụ **“LayerZero(LayerZero)” – “KelpDAO rsETH”** được đánh giá là tương đối hạn chế đối với toàn thị trường. Tuy nhiên, sự cố này một lần nữa phơi bày **điểm yếu của cấu trúc xác thực đơn lẻ** trong các giải pháp **cross-chain**, đồng thời nhấn mạnh nhu cầu cấp thiết phải rà soát lại các **tiêu chuẩn bảo mật liên chuỗi**.

bình luận Thay vì chỉ đặt câu hỏi “dùng giao thức bridge hay messaging nào”, giới phát triển và nhà đầu tư đang buộc phải quan tâm nhiều hơn đến câu hỏi: **“cấu trúc bảo mật và mô hình xác thực”** của từng giải pháp cross-chain được thiết kế ra sao. Vụ rsETH cho thấy chỉ cần một mắt xích như **DVN đơn lẻ** bị khai thác thông qua tầng hạ tầng bên dưới (như RPC), toàn bộ dòng tài sản liên quan có thể đối mặt với rủi ro, dù bản thân giao thức cốt lõi không hở lỗ hổng rõ ràng.

Ở tầm hệ sinh thái, vụ việc **“KelpDAO rsETH – LayerZero(LayerZero)”** đang được xem như ví dụ điển hình cho việc các dự án DeFi cần ưu tiên mô hình **đa trình xác thực độc lập**, hạn chế cấu trúc “1-of-1”, và áp dụng quy trình kiểm định bảo mật nghiêm ngặt hơn trước khi mở rộng tài sản sang nhiều chuỗi. Đây có thể là chất xúc tác để thị trường thiết lập những “chuẩn” mới cho bảo mật cross-chain, thay vì chỉ dựa trên thương hiệu hay quy mô của từng giao thức.