Kể từ khi cầu liên chuỗi KelpDAO bị tấn công khoảng 292 triệu USD vào tháng 4 năm nay, cảnh quan bảo mật của cơ sở hạ tầng liên chuỗi đang trải qua một cuộc tái cấu trúc mạnh mẽ. Theo thống kê, hiện đã có khoảng 4 tỷ USD tài sản hoàn thành hoặc đang trong quá trình di chuyển từ LayerZero sang giao thức tương tác liên chuỗi CCIP của Chainlink.
Cuộc tấn công xảy ra vào sáng ngày 19 tháng 4, khi kẻ tấn công gọi hàm trong hợp đồng LayerZero Endpoint V2, kích hoạt hợp đồng cầu nối của KelpDAO giải phóng khoảng 116.500 rsETH, trị giá khoảng 292 triệu USD. Cơ chế tạm dừng khẩn cấp của giao thức sau đó đã ngăn chặn thêm tổn thất khoảng 100 triệu USD.
Sau cuộc tấn công, LayerZero đã ra tuyên bố cho rằng, dự đoán ban đầu cho thấy tác nhân tấn công là một thực thể nhà nước có độ phức tạp cao, có khả năng là nhóm TraderTraitor thuộc Lazarus Group của Triều Tiên.
Phương pháp tấn công chủ yếu dựa trên việc làm ô nhiễm các nút RPC mà mạng lưới người xác minh phi tập trung của LayerZero phụ thuộc vào, đồng thời thông qua các cuộc tấn công DDoS buộc hệ thống chuyển đổi sang các nút đã bị xâm nhập, cho phép các tin giả mạo được thông qua. Điểm gây tranh cãi chính trong sự kiện này là KelpDAO lúc đó sử dụng cấu hình 1-of-1 với một người xác minh duy nhất, cấu hình này đã bị khai thác dẫn đến điểm lỗi đơn lẻ.
LayerZero thừa nhận rằng việc cho phép mạng xác thực chính thức của họ phục vụ các giao dịch giá trị cao với cấu hình 1/1 là một sai lầm nghiêm trọng và tuyên bố ngừng ký tin nhắn cho các thiết lập một người xác thực. KelpDAO chỉ ra rằng cấu hình này từng xuất hiện như thiết lập mặc định trong mã triển khai của LayerZero. Dù trách nhiệm được phân chia thế nào, cuộc tấn công này đã phơi bày sự dễ bị tổn thương trong việc xác thực tin nhắn chéo chuỗi dưới cấu hình cụ thể này.
Cuộc di dời ngay lập tức bắt đầu; vào ngày 6 tháng 5, bên bị hại KelpDAO đã率先 thông báo từ bỏ LayerZero, chuyển toàn bộ cơ sở hạ tầng cross-chain của rsETH sang Chainlink CCIP, trở thành giao thức lớn đầu tiên rời đi.
Sau hai ngày, giao thức质押 bitcoin Solv Protocol sẽ chuyển cơ sở hạ tầng chuỗi chéo cho SolvBTC và xSolvBTC, với tổng quy mô vượt 700 triệu USD, sang CCIP, bao phủ toàn bộ các chuỗi được hỗ trợ.
Cùng ngày, giao thức bảo hiểm tái phân quyền Re cũng đã chuyển đổi giải pháp chuyền chuỗi cho token gửi reUSD sang CCIP và chỉ định đây là giải pháp chuyền chuỗi duy nhất. Giao thức cho vay không quản lý Tydro cũng nằm trong danh sách首批 chuyển đổi.
Ngày 14 tháng 5, Kraken thông báo thay thế LayerZero bằng Chainlink CCIP làm dịch vụ liên chuỗi độc quyền cho các tài sản mã hóa được đóng gói, bao gồm kBTC, phủ sóng nhiều chuỗi blockchain như Ink, Ethereum, Optimism. Ngày 16, Lombard thông báo ngừng sử dụng LayerZero và chuyển hơn 1 tỷ USD tài sản được bảo chứng bằng Bitcoin sang CCIP, áp dụng tiêu chuẩn chuyển đổi liên chuỗi thông qua tiêu hủy và đúc.
Theo dữ liệu từ DefiLlama, nếu chỉ tính giá trị tổng khóa của các giao thức DeFi chính, tổng quy mô của năm dự án đã vượt quá 3,4 tỷ USD; khi cộng thêm tài sản được đóng gói bởi tổ chức, tổng quy mô chuyển dịch vào khoảng 4 tỷ USD.
Coinbase đã chọn CCIP làm nhà cung cấp tương tác độc quyền cho tất cả tài sản được đóng gói của mình từ tháng 12 năm 2025, bao gồm các tài sản như cbBTC, cbETH, cbDOGE, cbLTC, cbADA và cbXRP, với tổng vốn hóa thị trường khoảng 7 tỷ USD vào thời điểm đó. Vào tháng 1 năm 2024, Circle cũng đã tích hợp CCIP để hỗ trợ chuyển tiền đa chuỗi cho USDC.
Phản ứng của thị trường đối với sự chuyển giao niềm tin này được thể hiện trực tiếp qua diễn biến của token.
Theo dữ liệu từ CoinMarketCap, LINK trong 30 ngày qua tăng 2,73%, giao dịch ở mức 9,6 USD, vốn hóa thị trường đạt 6,98 tỷ USD, duy trì vị trí thứ 16 trên thị trường tiền mã hóa; trong khi đó, ZRO trong cùng kỳ giảm mạnh 22,63%, giao dịch ở mức 1,34 USD, vốn hóa thị trường giảm xuống còn 434 triệu USD và tụt xuống vị trí thứ 92. LayerZero còn đối mặt với áp lực bổ sung từ việc giải phóng hơn 25,71 triệu token ZRO vào ngày 20 tháng 5, tương đương giá trị khoảng 34,45 triệu USD, chiếm 5,07% lượng lưu hành.
Theo dữ liệu từ Dune, mạng LayerZero đã ghi nhận dòng tiền ròng ra khoảng 2,01 tỷ USD trong 30 ngày qua.
Sự tràn ngập của nhiều giao thức đằng sau là sự khác biệt rõ rệt về kiến trúc bảo mật giữa Chainlink CCIP và LayerZero. Chainlink trước đó đã công bố vào tháng 4 năm 2024 rằng CCIP đã sẵn sàng sử dụng đầy đủ, hỗ trợ các blockchain như Arbitrum, Base, BNB Chain, Ethereum.
Chainlink CCIP tích hợp sâu vào mạng lưới oracle phi tập trung, bao gồm nhiều nhà vận hành nút độc lập tạo thành lớp đồng thuận ngoài chuỗi để quan sát, xác minh và báo cáo các sự kiện chéo chuỗi, đồng thời được hỗ trợ bởi mạng quản lý rủi ro độc lập để cung cấp giám sát và bảo vệ bổ sung. Cơ chế chuyển token tích hợp các tính năng như giới hạn tốc độ và khóa thời gian, tạo thành mô hình bảo mật đa lớp.
Theo dữ liệu từ Dune, tổng giá trị chuyển đổi token liên chuỗi của Chainlink CCIP đã vượt quá 2 tỷ USD. Trong đó, các stablecoin phi tập trung GHO và USDC chiếm tỷ lệ cao nhất, lần lượt đạt 22,4% và 20,2%, tương ứng với khoảng 531 triệu USD và 481 triệu USD.
So sánh với điều đó, LayerZero sử dụng kiến trúc năm lớp cực kỳ mô-đun, tách biệt hoàn toàn giao diện, xác thực và thực thi, cho phép các nhà phát triển tự kết hợp mạng xác thực phi tập trung và cấu hình ngưỡng xác thực. Thiết kế này mang lại độ linh hoạt cao hơn, nhưng cũng yêu cầu các ứng dụng chủ động lựa chọn và duy trì các cấu hình bảo mật.
Sự kiện KelpDAO đã làm nổi bật lỗ hổng nghiêm trọng của cấu hình một người xác minh, khi các giao thức cùng chọn cấu hình 1/1 từng chiếm tới 47%, thúc đẩy nhiều dự án nhanh chóng chuyển sang CCIP với tùy chọn xác minh phi tập trung làm mặc định và các biện pháp kiểm soát bảo mật toàn diện hơn.
LayerZero đã đăng bài xin lỗi vào ngày 9 tháng 5, thừa nhận đã xử lý không đúng cách trong việc truyền thông trong ba tuần qua và cho biết nên sớm thông báo trực tiếp về tình hình thay vì ưu tiên hoàn thành báo cáo phân tích sau sự việc.
LayerZero nhấn mạnh rằng chính giao thức không bị ảnh hưởng, mà là nguồn dữ liệu bị đầu độc được sử dụng bởi DVN của LayerZero Labs, đồng thời các nhà cung cấp RPC bên ngoài đã bị tấn công DDoS, cho phép Labs DVN phục vụ các giao dịch giá trị cao ở cấu hình 1/1 là một sai lầm nghiêm trọng. Chính thức sẽ sớm công bố báo cáo phân tích sau sự cố cùng các đối tác bảo mật bên ngoài.