Sau cuộc tấn công vào cầu nối chéo (cross-chain bridge) của KelpDAO vào khoảng 292 triệu USD vào tháng 4 năm nay, bức tranh an ninh của cơ sở hạ tầng cross-chain đang trải qua một cuộc đại tu mãnh liệt. Theo thống kê, hiện đã có khoảng 40 tỷ USD tài sản đã hoàn tất hoặc đang trong quá trình di chuyển từ LayerZero sang Giao thức tương tác liên chuỗi (CCIP) của Chainlink.
Vụ tấn công xảy ra vào sáng sớm ngày 19/4, khi kẻ tấn công gọi hàm của hợp đồng LayerZero Endpoint V2, kích hoạt hợp đồng cầu nối KelpDAO giải phóng khoảng 116,500 rsETH, trị giá khoảng 292 triệu USD. Cơ chế tạm dừng khẩn cấp của giao thức sau đó đã ngăn chặn thiệt hại thêm khoảng 100 triệu USD.
Sau vụ tấn công, LayerZero đã đưa ra tuyên bố cho rằng, ban đầu họ đánh giá kẻ tấn công là một chủ thể quốc gia cực kỳ tinh vi, nghi ngờ thuộc nhóm TraderTraitor của Lazarus Group (Triều Tiên).
Trọng tâm của phương thức tấn công nằm ở việc làm nhiễm độc các nút RPC mà mạng trình xác thực phi tập trung của LayerZero dựa vào, và thông qua cuộc tấn công DDoS buộc hệ thống chuyển đổi dự phòng sang các nút đã bị xâm nhập, cho phép thông điệp giả mạo được thông qua. Điểm tranh cãi chính của sự việc là KelpDAO lúc đó đã sử dụng cấu hình trình xác thực đơn 1-of-1, cấu hình này bị lợi dụng đã dẫn đến lỗi điểm đơn (single point of failure).
LayerZero thừa nhận việc cho phép mạng trình xác thực chính thức của họ cung cấp dịch vụ cho các giao dịch giá trị cao với cấu hình 1/1 là một sai lầm nghiêm trọng, và thông báo ngừng ký thông điệp cho các thiết lập trình xác thực đơn. KelpDAO thì chỉ ra rằng, cấu hình này đã từng xuất hiện như một thiết lập mặc định trong mã triển khai của LayerZero. Dù trách nhiệm phân chia thế nào, cuộc tấn công này đã phơi bày điểm yếu trong việc xác minh thông điệp cross-chain dưới một cấu hình cụ thể.
Làn sóng di cư ngay lập tức bắt đầu. Vào ngày 6/5, bên bị hại KelpDAO tiên phong tuyên bố từ bỏ LayerZero, chuyển toàn bộ cơ sở hạ tầng cross-chain cho rsETH sang Chainlink CCIP, trở thành giao thức chính đầu tiên rời đi.
Hai ngày sau, giao thức stake Bitcoin Solv Protocol đã chuyển cơ sở hạ tầng cross-chain cho SolvBTC và xSolvBTC với tổng quy mô hơn 7 tỷ USD của họ sang CCIP, bao phủ tất cả các tuyến hỗ trợ.
Cùng ngày, giao thức tái bảo hiểm phi tập trung Re cũng đã di chuyển giải pháp cross-chain cho token tiền gửi reUSD sang CCIP, và chỉ định nó là giải pháp cross-chain duy nhất. Giao thức cho vay phi giám sát Tydro cũng nằm trong danh sách di cư đầu tiên.
Ngày 14/5, Kraken thông báo sử dụng Chainlink CCIP thay thế LayerZero, làm dịch vụ cross-chain độc quyền cho các tài sản mã hóa được đóng gói của họ, bao gồm Bitcoin được đóng gói kBTC, bao phủ nhiều blockchain như Ink, Ethereum, Optimism. Ngày 16/5, Lombard tuyên bố ngừng sử dụng LayerZero, di chuyển hơn 10 tỷ USD tài sản được thế chấp bằng Bitcoin sang CCIP, áp dụng tiêu chuẩn token cross-chain đốt và đúc.
Theo dữ liệu từ DefiLlama, nếu chỉ thống kê tổng giá trị bị khóa hiện tại của các giao thức DeFi chính, quy mô tổng cộng của năm giao thức đã vượt quá 34 tỷ USD, cộng thêm tài sản được đóng gói thể chế, quy mô di cư tổng thể vào khoảng 40 tỷ USD.
Coinbase thì đã chọn CCIP làm nhà cung cấp khả năng tương tác độc quyền cho tất cả tài sản đóng gói của mình từ tháng 12/2025, bao gồm các tài sản như cbBTC, cbETH, cbDOGE, cbLTC, cbADA và cbXRP, lúc đó tổng vốn hóa thị trường khoảng 70 tỷ USD. Tháng 1/2024, Circle cũng đã tích hợp với CCIP để hỗ trợ chuyển đa chuỗi cho USDC.
Phản ứng của thị trường trước cuộc di cư niềm tin này được thể hiện trực tiếp trên biểu đồ giá token.
Theo dữ liệu từ CoinMarketCap, LINK trong 30 ngày gần nhất đã tăng 2.73%, báo giá 9.6 USD, vốn hóa thị trường 6.98 tỷ USD, giữ vững vị trí thứ 16 trên thị trường crypto; trong khi đó, ZRO trong cùng kỳ giảm tới 22.63%, báo giá 1.34 USD, vốn hóa thị trường 434 triệu USD, thứ hạng tụt xuống vị trí 92. LayerZero còn đối mặt với áp lực bổ sung từ việc mở khóa hơn 25.71 triệu token ZRO vào ngày 20/5, trị giá khoảng 34.45 triệu USD, chiếm 5.07% lượng lưu hành.
Theo dữ liệu Dune, mạng LayerZero trong 30 ngày gần nhất có dòng chảy ròng ra khoảng 20.1 tỷ USD.
Đằng sau làn sóng ồ ạt của các giao thức, là sự khác biệt đáng kể về kiến trúc bảo mật giữa Chainlink CCIP và LayerZero. Chainlink trước đó đã thông báo CCIP bước vào giai đoạn khả dụng toàn diện vào tháng 4/2024, hỗ trợ các blockchain như Arbitrum, Base, BNB Chain, Ethereum.
Chainlink CCIP tích hợp sâu mạng oracle phi tập trung, được tạo thành từ nhiều nhà vận hành nút độc lập tạo thành lớp đồng thuận off-chain, quan sát, xác minh và báo cáo các sự kiện cross-chain, đồng thời được hỗ trợ bởi một mạng quản lý rủi ro độc lập cung cấp giám sát và bảo vệ bổ sung. Cơ chế chuyển token của nó được tích hợp sẵn các tính năng như giới hạn tốc độ và nâng cấp khóa thời gian, tạo thành mô hình bảo mật phòng thủ theo chiều sâu.
Theo dữ liệu Dune, tổng giá trị chuyển token cross-chain tích lũy của Chainlink CCIP đã vượt 2 tỷ USD. Trong đó, stablecoin phi tập trung GHO và USDC chiếm tỷ lệ cao nhất, lần lượt đạt 22.4% và 20.2%, tương ứng với số tiền khoảng 531 triệu USD và 481 triệu USD.
Ngược lại, LayerZero sử dụng kiến trúc năm tầng mô-đun hóa cao, tách biệt hoàn toàn giao diện, xác minh và thực thi, cho phép nhà phát triển tự kết hợp mạng xác minh phi tập trung và cấu hình ngưỡng xác minh. Thiết kế này mang lại tính linh hoạt cao, nhưng cũng yêu cầu bên ứng dụng chủ động lựa chọn và duy trì cấu hình bảo mật.
Sự kiện KelpDAO đã đặt lỗ hổng chết người của cấu hình trình xác thực đơn dưới ánh đèn sân khấu, lúc đó các giao thức cùng lựa chọn cấu hình 1/1 từng chiếm tới 47%, điều này thúc đẩy nhiều dự án nhanh chóng đổ xô sang CCIP với tùy chọn xác minh phi tập trung làm mặc định và các kiểm soát bảo mật hoàn thiện hơn.
LayerZero vào ngày 9/5 đã đăng bài xin lỗi, thừa nhận đã xử lý không đúng công tác truyền thông trong ba tuần qua, cho biết lẽ ra nên giải thích trực tiếp tình hình sớm hơn thay vì ưu tiên hoàn thành báo cáo phân tích sự cố.
LayerZero nhấn mạnh bản thân giao thức không bị ảnh hưởng, mà là RPC nội bộ mà LayerZero Labs DVN sử dụng bị nhiễm độc nguồn dữ liệu, đồng thời nhà cung cấp RPC bên ngoài bị tấn công DDoS, việc cho phép Labs DVN hoạt động như một cấu hình 1/1 phục vụ các giao dịch giá trị cao là một sai lầm nghiêm trọng. Phía chính thức sẽ sớm cùng các đối tác bảo mật bên ngoài công bố báo cáo phân tích sự cố chính thức.
