Vào khoảng 17:35 UTC ngày 18 tháng 04 năm 2026, cầu nối cross-chain của giao thức liquid restaking Kelp DAO, rsETH, đã trở thành mục tiêu của một vụ tấn công quy mô lớn. Kẻ tấn công đã lợi dụng lỗ hổng cấu hình cross-chain LayerZero, từ đó tạo ra khoảng 116.500 rsETH "từ không khí" trên Ethereum mainnet. Theo giá thị trường tại thời điểm đó, số tài sản này trị giá xấp xỉ 293 triệu USD, chiếm khoảng 18% tổng nguồn cung rsETH. Đây được xem là sự cố bảo mật DeFi lớn nhất năm 2026 tính đến thời điểm hiện tại.
Điểm then chốt của vụ tấn công nằm ở các bước tiếp theo: thay vì bán tháo rsETH trực tiếp trên thị trường thứ cấp—nơi thanh khoản hạn chế và các lệnh bán lớn sẽ gây trượt giá nghiêm trọng—hacker đã sử dụng số "tài sản ảo" này làm tài sản thế chấp tại các giao thức cho vay lớn như Aave V3, Compound V3 và Euler, vay khoảng 236 triệu USD WETH/ETH thực.
Về bản chất, sự cố này có thể tóm gọn thành: lỗ hổng cấu hình cầu nối cross-chain + tận dụng chênh lệch tài sản thế chấp tại các giao thức cho vay + rủi ro hệ thống lan tỏa. Là một token liquid restaking, giá trị của rsETH lẽ ra phải được bảo chứng bằng tài sản thực trên cầu nối cross-chain. Khi dự trữ này bị rút cạn, giá trị rsETH ngay lập tức sụp đổ về 0, nhưng các giao thức cho vay như Aave vẫn định giá tài sản thế chấp theo giá gốc, dẫn đến khoản nợ xấu khổng lồ.
Theo theo dõi on-chain, kẻ tấn công đã thu được khoảng 106.466 ETH (tương đương khoảng 250 triệu USD), trong đó khoảng 196 triệu USD đến từ khoản vay trên Aave. Sau đó, Aave đã đóng băng toàn bộ thị trường liên quan đến rsETH và ước tính nợ xấu của giao thức dao động từ 177 triệu đến 196 triệu USD.
Chữ Ký Đơn Chí Mạng: Phân Tích Sâu Lỗ Hổng Cấu Hình LayerZero
Lỗi Cốt Lõi: Thiết Lập DVN 1/1 Bị Bỏ Qua
Trọng tâm của vụ tấn công này không phải do lỗi mã hợp đồng thông minh, mà xuất phát từ việc cấu hình tham số triển khai sai lệch. Hợp đồng cross-chain LayerZero của Kelp DAO đã sử dụng thiết lập DVN (Decentralized Verifier Network) 1/1—nghĩa là chỉ cần một node xác thực duy nhất phê duyệt thông điệp cross-chain. Như nhà sáng lập SlowMist, Cosine, đã chỉ ra trên X, tài liệu chính thức của LayerZero khuyến nghị cấu hình DVN 2/2, tận dụng tính dự phòng từ nhiều node xác thực.
Cơ chế DVN của LayerZero V2 trao quyền quyết định bảo mật cho lớp ứng dụng: mỗi giao thức tích hợp tự chọn số lượng node xác thực cần thiết để xác nhận thông điệp cross-chain trước khi phê duyệt. Kelp DAO đã đặt ngưỡng ở mức "1 trên 1" cực đoan—chỉ cần một node xác nhận là đủ. Cấu hình này tạo ra một "điểm thất bại đơn lẻ" mà hacker có thể khai thác.
Diễn Biến Thực Thi Tấn Công
Kẻ tấn công đã tạo một gói dữ liệu cross-chain độc hại, gọi hàm lzReceive trên hợp đồng LayerZero EndpointV2 để gửi thông điệp cross-chain giả mạo tới hợp đồng cầu nối của Kelp. Thông điệp này khẳng định rằng tài sản rsETH đã bị khóa trên chuỗi nguồn và yêu cầu Ethereum mainnet phát hành lượng rsETH tương ứng.
Lỗ hổng then chốt: hợp đồng cầu nối của Kelp không kiểm tra nghiêm ngặt "chuỗi nguồn" của thông điệp cross-chain. Hợp đồng này mù quáng tin tưởng thông điệp từ LayerZero và thực hiện phát hành, dù thực tế không có rsETH nào được gửi lên chuỗi nguồn.
Kẻ tấn công đã sử dụng Tornado Cash để nạp phí giao dịch, cho thấy sự chuẩn bị kỹ lưỡng nhằm ẩn danh trước khi thực hiện vụ tấn công.
Góc Khuất Audit: Vì Sao Công Cụ Kiểm Toán Im Lặng
Sự cố này hoàn toàn khác biệt so với các lỗ hổng phổ biến như tái nhập (reentrancy) hay tràn số trong mã hợp đồng thông minh. Các cuộc kiểm toán bảo mật DeFi truyền thống thường tập trung vào lỗi ở cấp độ mã, nhưng các công cụ như Slither và Mythril gần như bất lực trước rủi ro cấu hình. Nghiên cứu cho thấy, ngay cả các lỗi mã cũng chỉ được phát hiện bởi các công cụ hiện tại trong khoảng 8%–20% trường hợp. Các tham số cấu hình (như ngưỡng DVN và số lượng node xác thực) nằm ngoài phạm vi phân tích tĩnh, tạo ra điểm mù mang tính cấu trúc trong kiểm toán bảo mật.
Tái Hiện On-Chain: Dòng Tiền 46 Phút và Dấu Vết 250 Triệu USD
Dòng Thời Gian Sự Kiện Chính
| Thời gian (UTC) | Sự kiện | Tính chất |
|---|---|---|
| 17:35 | Hacker gọi hợp đồng LayerZero EndpointV2, giả mạo thông điệp cross-chain, phát hành 116.500 rsETH (~293 triệu USD) trên Ethereum mainnet | Tấn công thực thi |
| 18:21 | Ví multisig của Kelp DAO phát hiện bất thường, khẩn cấp tạm dừng các hợp đồng liên quan đến rsETH trên mainnet và nhiều L2 | Phản ứng phòng vệ |
| 18:26 | Hacker thử tấn công lần hai, cố gắng rút 40.000 rsETH (~100 triệu USD), giao dịch bị hoàn trả | Tấn công thất bại |
| 18:28 | Hacker thử tấn công lần ba, tiếp tục rút 40.000 rsETH, giao dịch bị hoàn trả | Tấn công thất bại |
| 20:10 | Kelp DAO đăng thông báo công khai đầu tiên trên X, xác nhận hoạt động cross-chain bất thường | Xác nhận chính thức |
| Nhiều giờ sau sự cố | Aave, SparkLend, Fluid và các bên khác khẩn cấp đóng băng thị trường tài sản thế chấp rsETH | Phản ứng khẩn cấp toàn ngành |
Nguồn dữ liệu: Theo dõi on-chain
Dòng Chảy Tài Sản
Bảng sau đây chi tiết từng bước hacker chuyển đổi "rsETH ảo" thành ETH thực:
| Bước | Mô tả thao tác | Giao thức/Hợp đồng liên quan | Đích đến & Kết quả |
|---|---|---|---|
| Bước 1 | Hacker rút phí qua Tornado Cash, chuẩn bị cho các giao dịch ẩn danh. | Tornado Cash | Ví hacker nhận ETH để thanh toán phí gas tiếp theo. |
| Bước 2 | Giả mạo thông điệp cross-chain, gọi hợp đồng LayerZero EndpointV2, kích hoạt hợp đồng cầu nối Kelp. | LayerZero EndpointV2, Kelp DAO Bridge | Hợp đồng cầu nối Kelp phát hành 116.500 rsETH giả cho địa chỉ hacker. |
| Bước 3 | Gửi phần lớn rsETH giả làm tài sản thế chấp vào nhiều giao thức cho vay lớn. | Aave V3, Compound V3, Euler | Hacker thiết lập vị thế thế chấp tại mỗi giao thức, chuẩn bị vay tài sản thực. |
| Bước 4 | Vay WETH và ETH thực từ các giao thức cho vay. | Aave V3, Compound V3, Euler | Hacker vay khoảng 236 triệu USD tài sản thực từ nhiều giao thức. |
| Bước 5 | Rút và phân tán ETH đã vay. | Công cụ ẩn danh & nhiều địa chỉ trung gian | Hacker nhận được ~106.466 ETH (trị giá ~250 triệu USD). |
| Bước 6 | Hình thành nợ xấu; các giao thức cho vay chịu lỗ do tài sản thế chấp mất giá trị. | Aave V3, Compound V3, Euler | Nợ xấu Aave: 177–196 triệu USD; Compound: ~39,4 triệu USD; Euler: ~840 nghìn USD. |
Nguồn dữ liệu: Theo dõi on-chain và báo cáo tổng kết chính thức từ nhiều giao thức
Toàn bộ vụ tấn công chỉ kéo dài khoảng 46 phút—từ khi khai thác lỗ hổng đến khi Kelp tạm dừng hợp đồng, hacker đã hoàn thành tất cả các bước cốt lõi về thế chấp và vay mượn. Đáng chú ý, gần ba giờ sau khi vụ việc xảy ra, Kelp mới phát đi thông báo công khai đầu tiên.
Biến Động Thị Trường: TVL Aave "Bốc Hơi" 6,6 Tỷ USD Trong Một Ngày, Token Bán Tháo
Khủng Hoảng Thanh Khoản Aave và Làn Sóng Rút Vốn Tổ Chức
Vụ tấn công Kelp đã kích hoạt làn sóng rút vốn quy mô lớn khỏi Aave. Theo DefiLlama, tổng giá trị khóa (TVL) của Aave đã giảm từ khoảng 26,4 tỷ USD ngày 18 tháng 04 xuống còn 17,947 tỷ USD sau hai ngày—tổng mức giảm 8,45 tỷ USD. Tổng TVL DeFi toàn thị trường cũng giảm từ 99,497 tỷ USD xuống 86,286 tỷ USD, bốc hơi 13,21 tỷ USD chỉ trong hai ngày.
Chỉ trong một ngày, Aave chứng kiến dòng vốn rút ra lên tới 6,6 tỷ USD, trong đó 3,3 tỷ USD là stablecoin. Tính đến ngày 20 tháng 04 năm 2026, dữ liệu thị trường Gate ghi nhận giá AAVE ở mức 91,66 USD, giảm 1,00% trong 24 giờ. Lượng thanh lý tăng đột biến cuối tuần đã đẩy phí giao thức lên 1,99 triệu USD/ngày.
Động thái rút vốn không xuất phát từ tâm lý hoảng loạn của nhà đầu tư nhỏ lẻ, mà là hành vi phòng ngừa rủi ro từ các tổ chức và cá mập. Dữ liệu on-chain cho thấy nhà đầu tư nổi tiếng Justin Sun đã rút 65.584 ETH (~154 triệu USD) khỏi Aave. Tỷ lệ sử dụng ETH trên Aave đạt 100%, lãi suất vay USDT và USDC tăng vọt lên 15%, lãi suất gửi tiền (APY) cũng lên tới 13,4%, báo hiệu tình trạng thắt chặt thanh khoản nghiêm trọng.
Tổng Quan Hiệu Suất Thị Trường Token
Tính đến ngày 20 tháng 04 năm 2026, theo dữ liệu thị trường Gate:
- KernelDao (KERNEL): Vụ tấn công làm suy giảm niềm tin thị trường vào token này. Dữ liệu Gate cho thấy KERNEL ở mức 0,0692 USD, giảm khoảng 4,25% trong 24 giờ. KERNEL giảm 17,62% trong tuần qua, vốn hóa thị trường khoảng 11,29 triệu USD.
- AAVE (AAVE): Sau sự cố, token này từng giảm hơn 22% tại đáy, hiện giao dịch ở mức 91,66 USD. Đây là kết quả của việc thị trường định giá lại rủi ro tài sản thế chấp. Vốn hóa thị trường khoảng 1,38 tỷ USD, giảm 17,89% trong tháng.
- LayerZero (ZRO): Là token hạ tầng cross-chain, ZRO đã lao dốc hơn 40% sau sự kiện. Dữ liệu mới nhất cho thấy ZRO phục hồi nhẹ lên 1,61 USD, tăng 5,85% trong 24 giờ, nhưng vẫn giảm 16,30% trong tuần, vốn hóa đạt 406,5 triệu USD.
Phản Ứng Phòng Vệ Toàn Ngành
Sau sự cố, nhiều giao thức đã triển khai các biện pháp phòng ngừa khẩn cấp:
Curve Finance tạm dừng toàn bộ hạ tầng dựa trên LayerZero, bao gồm cầu nối token CRV trên BNB Chain, Sonic và Avalanche, cũng như cầu nối nhanh cho stablecoin crvUSD. Curve cho biết đây là biện pháp phòng ngừa, dù giao thức không bị ảnh hưởng trực tiếp.
Morpho tạm dừng cầu nối cross-chain OFT cho token MORPHO trên Arbitrum, cũng nhằm phòng ngừa rủi ro.
Giao thức Reserve tạm ngừng phát hành eUSD và USD3 do rsETH nằm trong pool tài sản thế chấp, dù vẫn cho phép hoàn trả.
Ngoài ra, các thành viên liên minh sàn giao dịch tài sản số Hàn Quốc như Upbit và Bithumb đã phát đi cảnh báo đầu tư đối với Kernel DAO, khuyến nghị nhà đầu tư thận trọng.
Chuyển Biến Nhận Thức: Niềm Tin Cross-Chain, Rủi Ro LRT và Góc Khuất Audit
Tác Động Đến Niềm Tin Vào Hạ Tầng Cross-Chain
Sự cố này tiếp tục là thách thức lớn đối với bảo mật cầu nối cross-chain. Các cầu nối luôn là điểm nóng của các vụ tấn công bảo mật crypto—từ vụ hack Nomad bridge năm 2022 đến sự kiện Kelp DAO, lỗ hổng cấu hình trong xác thực thông điệp cross-chain vẫn là mục tiêu hàng đầu. Một xu hướng đáng chú ý: sau sự kiện, nhiều dự án như Solv đã thông báo tạm dừng cầu nối LayerZero OFT.
Việc Curve và Morpho chủ động tạm dừng đã bảo vệ tài sản người dùng trong ngắn hạn, nhưng cũng cho thấy DeFi phụ thuộc rất lớn vào hạ tầng chung. Khi một giao thức gặp sự cố, các giao thức khác buộc phải phòng vệ, dẫn đến nguy cơ phân mảnh thanh khoản token và xói mòn niềm tin vào bảo mật cầu nối.
Đánh Giá Lại Rủi Ro Token Liquid Restaking
Với vai trò là token liquid restaking, giá trị của rsETH phụ thuộc vào tài sản thực được khóa trên cầu nối cross-chain. Sự cố này đã phơi bày điểm yếu cốt lõi của tài sản LRT: "cầu nối bị tấn công → dự trữ bị rút cạn → giá trị LRT sụp đổ → tài sản thế chấp mất giá trị → giao thức cho vay gánh nợ xấu", tạo thành chuỗi phản ứng dây chuyền.
Aave chưa từng gặp sự cố bảo mật trước đây. Dù nguyên nhân không đến từ mã hợp đồng của Aave, nhưng lại liên quan đến đánh giá rủi ro và cơ chế cô lập tài sản LRT của giao thức này. Để so sánh, Spark Protocol đã loại bỏ rsETH và các tài sản có thanh khoản thấp khỏi danh mục thế chấp, siết chặt tiêu chuẩn tài sản từ tháng 01, nên không bị ảnh hưởng bởi biến động lần này.
Nhà sáng lập Curve, Michael Egorov, nhận định trên X rằng sự kiện này cho thấy rủi ro của mô hình "cho vay không cô lập" vốn được áp dụng rộng rãi—tính mở rộng cao nhưng rủi ro lớn, khiến quản trị rủi ro trở nên tối quan trọng. Mô hình hub-and-spoke của Aave V4 có thể là bước tiến hướng tới cho vay cô lập và an toàn hơn.
Nâng Cấp Chuẩn Kiểm Toán Bảo Mật
Sự cố này cũng cho thấy điểm mù hệ thống trong kiểm toán bảo mật DeFi. Như đã phân tích, rủi ro cấu hình và bảo mật vận hành node/chìa khóa nằm ngoài phạm vi các công cụ và phương pháp audit hiện tại.
Sau sự kiện, LayerZero thông báo sẽ yêu cầu tất cả dự án sử dụng cấu hình DVN đơn lẻ chuyển sang thiết lập đa DVN, đồng thời tạm dừng dịch vụ ký và xác thực cho cấu hình 1/1. Động thái này có thể thúc đẩy ngành hướng tới tiêu chuẩn bảo mật tối thiểu cho hạ tầng cross-chain. Trong tương lai, checklist kiểm tra bảo mật DeFi có thể cần bổ sung đánh giá tham số cấu hình, kiểm tra bảo mật node RPC, xác minh cơ chế multisig và các yếu tố rủi ro ngoài mã nguồn.
Kết Luận
Vụ tấn công 293 triệu USD vào Kelp DAO không chỉ lập kỷ lục mới về thiệt hại DeFi năm 2026, mà còn phơi bày một thực tế bị bỏ quên lâu nay: bảo mật DeFi không chỉ phụ thuộc vào chất lượng mã nguồn, mà còn ở cấu hình tham số hợp lý, vận hành node an toàn và khả năng chống chịu của các mắt xích trong hệ sinh thái.
Về mặt kỹ thuật, chỉ một lựa chọn tham số DVN "1/1" đã kích hoạt khủng hoảng hệ thống trên nhiều giao thức lớn chỉ trong 46 phút. Ở góc độ thị trường, Aave mất 8,45 tỷ USD TVL trong hai ngày, tổng TVL DeFi toàn ngành cũng giảm hơn 13,21 tỷ USD, khi thị trường định giá lại rủi ro tích lũy từ "lỗ hổng cầu nối + tài sản thế chấp LRT".
Sự kiện này một lần nữa cho thấy mặt trái của "tính lắp ghép như Lego" trong DeFi—hiệu quả sử dụng vốn và đổi mới cao, nhưng chỉ cần một điểm thất bại cũng có thể gây hiệu ứng dây chuyền toàn hệ sinh thái chỉ trong vài phút.
