#KelpDAOBridgeHacked KelpDAO rsETH Cầu Nối Bị Tấn Công: Vụ Hack DeFi Lớn Nhất Năm 2026

Vào ngày 18 tháng 4 năm 2026, KelpDAO, một giao thức restaking thanh khoản nổi bật với hơn 1,3 tỷ đô la giá trị bị khóa (TVL) trước sự cố, đã gặp phải một cuộc tấn công thảm khốc nhắm vào hạ tầng cầu nối chuỗi chéo của nó. Cuộc tấn công đã dẫn đến việc mất khoảng 116.500 token rsETH, trị giá khoảng 292-294 triệu đô la vào thời điểm bị xâm phạm, trở thành vụ khai thác DeFi lớn nhất năm 2026 tính đến thời điểm đó.

Hướng Tấn Công

Vụ khai thác nhắm vào cầu rsETH của KelpDAO được hỗ trợ bởi giao thức nhắn tin chuỗi chéo LayerZero. Kẻ tấn công đã xác định và khai thác một lỗ hổng nghiêm trọng trong hàm lzReceive của EndpointV2 của LayerZero. Phương pháp thực hiện bao gồm đăng ký một peer testnet sử dụng Unichain EID 30320 và khai thác cấu hình xác minh phi tập trung 1-đến-1 (DVN). Điều này cho phép kẻ tấn công tạo ra và truyền đi một tin nhắn chuỗi chéo giả mạo vượt qua các quy trình xác thực tiêu chuẩn, kích hoạt việc phát hành rsETH trái phép từ vault mà không có tài sản đảm bảo hợp lệ.

rsETH bị đánh cắp chiếm khoảng 18% tổng cung lưu hành của token, gây ra lo ngại hệ thống ngay lập tức trong toàn bộ hệ sinh thái DeFi.

Lan Truyền Giữa Các Giao Thức và Khủng Hoảng Nợ Xấu

Thay vì giữ lại tài sản bị đánh cắp, kẻ tấn công đã nhanh chóng sử dụng rsETH không được đảm bảo làm tài sản thế chấp trên nhiều giao thức cho vay, tạo ra một kịch bản nợ xấu lan rộng:

- Aave V3 (Ethereum): -52.834 WETH vay
- Aave V3 (Arbitrum): -29.782 WETH cộng 821 wstETH vay
- Compound V3 và Euler: Thêm khoản vay từ 23-59 triệu đô la

Tổng nợ xấu trên các giao thức bị ảnh hưởng vượt quá $200 triệu, khi tài sản thế chấp rsETH trở nên vô giá trị sau khi giao thức tạm dừng hoạt động. Điều này không chỉ là một vụ khai thác cầu nối mà còn là một sự kiện lây lan giữa các giao thức, thử thách khả năng chống chịu của kiến trúc liên kết của DeFi.

Ảnh Hưởng Thị Trường Ngay Lập Tức

Vụ khai thác đã kích hoạt phản ứng mạnh mẽ trên thị trường và các phản ứng khẩn cấp của các giao thức:

- TVL của Aave giảm hơn $7 tỷ đô la do rút ETH hàng loạt, tỷ lệ sử dụng đạt 100% trên các thị trường bị ảnh hưởng
- Giảm giá token gốc: $AAVE giảm khoảng 20%, trong khi $ZRO (LayerZero) giảm khoảng 30%
- Các biện pháp phong tỏa thị trường khẩn cấp được thực hiện trên Aave V3, V4, SparkLend, Fluid, và Upshift để bảo vệ tài sản thế chấp rsETH
- Lido Earn tạm ngưng gửi earnETH do lo ngại về rsETH
- Nhiều dự án sử dụng cầu LayerZero đã bắt đầu tạm dừng phòng ngừa

Các rủi ro thứ cấp bao gồm khả năng thất bại trong thanh lý ETH, các vấn đề khuyến khích vay USDT, và sự tập trung nợ xấu trên Aave của Arbitrum, có thể thiếu bảo vệ toàn diện từ các chính sách Umbrella.

Phản Ứng Khẩn Cấp và Tình Trạng Hiện Tại

Đội ngũ an ninh của KelpDAO đã phản hồi trong khoảng một giờ sau khi phát hiện, thực hiện tạm dừng toàn bộ giao thức vào 18:21 UTC ngày 18 tháng 4. Phản ứng nhanh này đã thành công chặn hai nỗ lực tấn công tiếp theo. Đội đã phát hành các tuyên bố chính thức xác nhận sẵn sàng đàm phán với các white-hat và đang tiến hành phân tích nguyên nhân gốc rễ cùng LayerZero, Unichain, và các kiểm toán viên bên thứ ba.

Quản trị Aave đã bắt đầu thảo luận về việc phân bổ quỹ và các khoản vay tiềm năng để bù đắp các khoản thiếu hụt đã xác định, với các đề xuất bao gồm tăng lãi suất ETH slope2 để giảm thiểu áp lực giao thức. Theo phân tích của Chaos Labs, khoảng $177 triệu nợ xấu đã được giải quyết, tuy nhiên rủi ro từ Arbitrum vẫn chưa rõ ràng.

Các nhà điều tra blockchain như ZachXBT đã theo dõi số tiền bị đánh cắp đến Tornado Cash, hiện chưa có báo cáo phục hồi thành công nào. Các nhà phân tích dự đoán mức cắt giảm từ 15-20% cho các chủ sở hữu rsETH đã bridged, trong khi KelpDAO xem xét các cơ chế chia sẻ thiệt hại hoặc ưu tiên người nắm giữ mainnet.

Ảnh Hưởng Ngành Công Nghiệp

Sự cố này đánh dấu một điểm ngoặt quan trọng về an ninh cầu nối chuỗi chéo và tính khả dụng của token restaking thanh khoản (LRT). Vụ khai thác làm nổi bật các lỗ hổng cơ bản trong các tham số bảo mật cầu nối có thể cấu hình, đặc biệt là các rủi ro liên quan đến cấu hình DVN đơn giản. Sự kiện đã làm tăng sự chú ý đến tiêu chuẩn an ninh kiến trúc cầu nối và các rủi ro hệ thống do các giao thức DeFi liên kết chặt chẽ gây ra.

Vụ vi phạm của KelpDAO vượt qua kỷ lục trước đó của Drift Protocol với vụ khai thác 280-285 triệu đô la vào ngày 1 tháng 4, cho thấy xu hướng ngày càng tinh vi của các cuộc tấn công nhằm vào hạ tầng chuỗi chéo phức tạp. Với hơn 1,2 tỷ đô la bị mất trong tháng 4 năm 2026 qua nhiều vụ việc, bao gồm cả cuộc tấn công domain của CoW Swap, ngành công nghiệp đang đối mặt với áp lực ngày càng lớn để củng cố hạ tầng bảo mật và triển khai các khung quản lý rủi ro liên giao thức mạnh mẽ hơn.

Người dùng và các nhà tham gia thị trường bị ảnh hưởng được khuyên theo dõi các kênh chính thức của KelpDAO và Aave để cập nhật về nỗ lực phục hồi quỹ, các cơ chế bồi thường, và thời gian mở lại giao thức.

#KelpDAO #DeFiSecurity #CryptoHack #BridgeExploit