Nhóm hacker khét tiếng Lazarus đến từ Triều Tiên vừa thực hiện thành công vụ trộm 290 triệu USD tiền mã hóa từ Kelp DAO, thông qua việc khai thác lỗ hổng trong giao thức LayerZero.
Kelp DAO là một tổ chức tự trị phi tập trung (DAO) cho phép người dùng kiếm lợi nhuận từ các khoản đầu tư crypto nhàn rỗi. Trong khi đó, LayerZero là cơ sở hạ tầng giúp các blockchain khác nhau giao tiếp với nhau. Kelp DAO đã sử dụng LayerZero như một "lớp truyền tin" giữa các mạng lưới.
Theo báo cáo, Lazarus đã chiếm quyền kiểm soát một số máy chủ dùng để xác thực các giao dịch xuyên chuỗi (cross-chain). Sau đó, chúng tạo ra các giao dịch giả mạo nhưng trông như thật bằng cách đưa dữ liệu sai lệch vào hệ thống, buộc hệ thống phải tin tưởng các máy chủ đã bị xâm nhập và phê duyệt các lệnh chuyển tiền bất chính.
Sau vụ việc, một cuộc tranh cãi nảy lửa về trách nhiệm đã nổ ra giữa LayerZero và Kelp DAO. LayerZero khẳng định giao thức của họ vẫn an toàn và lỗi nằm ở cấu hình riêng biệt của Kelp DAO (cụ thể là thiết lập rsETH). Ngược lại, Kelp DAO bác bỏ nhận định rằng sự cố chỉ đơn thuần là do lỗi cấu hình của họ.
Vụ việc này một lần nữa gióng lên hồi chuông cảnh báo về năng lực tấn công ngày càng tinh vi của nhóm hacker Lazarus nhắm vào các nền tảng tài chính phi tập trung (DeFi) trên toàn cầu.