•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
LayerZero, giao thức nhắn tin xuyên chuỗi, vừa công khai xin lỗi về cách xử lý thông tin liên quan đến một sự cố an ninh lớn từng nhắm vào Kelp DAO. Trong bản cập nhật đăng trên blog chính thức, công ty thừa nhận các thiếu sót trong phản hồi ban đầu và cho biết đã nhận trách nhiệm trực tiếp đối với một lỗi cấu hình mạng verifier phi tập trung (DVN) dẫn đến khả năng bị khai thác.
Trong khoảng ba tuần sau vụ việc xảy ra vào tháng Tư, LayerZero tập trung vào phân tích kỹ thuật thay vì phản hồi trực diện với các mối quan ngại. Ban lãnh đạo công ty hiện đánh giá rằng cách tiếp cận này là chưa đủ, đồng thời thừa nhận ưu tiên chi tiết kỹ thuật nhưng chưa bảo đảm mức độ minh bạch rõ ràng và kịp thời.
Theo LayerZero, giao thức lõi không bị xâm phạm. Thay vào đó, sự cố bắt nguồn từ một cuộc tấn công nhắm vào hạ tầng gọi thủ tục từ xa (RPC) nội bộ của công ty.
Cụ thể, tin tặc từ nhóm Lazarus đã làm “ô nhiễm” nguồn dữ liệu mà LayerZero Labs’ DVN sử dụng, trong khi một nhà cung cấp RPC bên ngoài phải đối mặt với tấn công từ chối dịch vụ phân tán (DDoS).
LayerZero từ lâu cho phép các dự án lựa chọn tham số bảo mật phù hợp cho các chuyển giao xuyên chuỗi, dựa trên quyền tự chủ của nhà phát triển. Tuy nhiên, các giám đốc điều hành thừa nhận sai lầm nghiêm trọng khi không giới hạn DVN của mình chỉ hoạt động ở chế độ 1-trong-1 đối với các tài sản có giá trị cao.
Thiết lập này tạo ra một điểm thất bại đơn lẻ mà trước đó chưa được chú ý. LayerZero nêu quan điểm: “Chúng tôi đã không giám sát DVN của mình đang bảo vệ gì, điều đó tạo ra một rủi ro mà chúng tôi không nhận thấy.”
LayerZero cho biết ứng dụng bị ảnh hưởng chỉ chiếm 0,14% tổng số triển khai và khoảng 0,36% tổng giá trị tài sản được bảo vệ trên mạng. Dù vậy, công ty nhấn mạnh tác động tài chính là đáng kể.
Để giảm thiểu rủi ro, LayerZero cam kết áp dụng các biện pháp chủ động mạnh mẽ hơn, bao gồm tăng cường giáo dục và theo dõi cấu hình ứng dụng nhằm thúc đẩy thực hành an toàn.
Trong đó, DVN sẽ không còn hỗ trợ các thiết lập 1-trong-1 cho bất kỳ dự án nào. Các tùy chọn trên các đường dẫn đang được nâng cấp sẽ yêu cầu nhiều verifier—lý tưởng là năm, hoặc tối thiểu ba khi các tùy chọn bị giới hạn.
Công ty cũng cho biết sẽ triển khai thêm các cải tiến kỹ thuật, trong đó có một client DVN mới dựa trên Rust nhằm tăng sự đa dạng và cải thiện hệ thống đồng thuận RPC.
LayerZero đồng thời giải đáp các câu hỏi liên quan đến sự an toàn của tài sản. Công ty cho biết hơn 9 tỷ USD giá trị đã được chuyển qua LayerZero kể từ giữa tháng Tư mà không ghi nhận sự cố nào khác, qua đó củng cố niềm tin vào thiết kế của giao thức.
Về phía nhà phát triển, LayerZero đưa ra các khuyến nghị: ghim các cấu hình tùy chỉnh để tránh phụ thuộc vào các mặc định; thực thi xác nhận khối ở mức cao để chống lại rủi ro tái tổ chức; tích hợp nhiều DVN; và cân nhắc vận hành verifier riêng như một thành phần bắt buộc.
Bản cập nhật cũng đề cập một vấn đề nội bộ trước đó, xảy ra khoảng ba năm rưỡi trước: một signer multisig vô tình dùng một thiết bị của công ty cho giao dịch cá nhân. LayerZero cho biết người liên quan đã bị loại bỏ kịp thời, ví được xoay vòng và các biện pháp bảo vệ mới—bao gồm một multisig OneSig tùy chỉnh và các công cụ phát hiện bất thường—đã được triển khai.
Song song, LayerZero đang xây dựng các công cụ như nền tảng Console để hỗ trợ người phát hành quản lý cấu hình, phát hiện bất thường và tích hợp chữ ký nâng cao, nhằm ngăn ngừa các lỗ hổng tương tự và tăng cường niềm tin vào cơ sở hạ tầng tài chính phi tập trung.
LayerZero cho biết các công ty tiếp tục hợp tác với chuyên gia an ninh bên ngoài để có một bản nhận diện đầy đủ sau sự cố. Vụ việc được xem là minh chứng cho những thách thức kéo dài trong DeFi, nơi các cầu nối xuyên chuỗi phải cân bằng giữa tính linh hoạt và mức kiểm soát nghiêm ngặt.
Trong kết luận, LayerZero nhấn mạnh triết lý nền tảng: loại bỏ rủi ro hệ thống bằng cách trao quyền cho từng ứng dụng kiểm soát an toàn từ đầu đến cuối. Công ty cho rằng cách tiếp cận này đã thu hút các đối tác tổ chức lớn và hỗ trợ hàng trăm tỷ đô la chuyển khoản, đồng thời thể hiện cam kết phát triển hệ sinh thái theo hướng có trách nhiệm hơn.
Bộ Công Thương đề xuất cơ chế phân bổ dần vào giá điện các chi phí sản xuất, cung ứng điện chưa được tính đầy đủ, nhằm tạo cơ sở xử lý khoản lỗ lũy kế gần 45.000 tỷ đồng của Tập đoàn Điện lực Việt Nam (EVN). Quan điểm…
