#KelpDAOBridgeHacked

VỤ TẤN CÔNG CẦU KELPDAO: THẢM HỌA CHUYỂN CHIỀU $292 TRIỆU ĐÃ PHƠI BÀY ĐIỂM YẾU CỦA DEFI

Hãy tưởng tượng bạn thức dậy vào chiều thứ Bảy và phát hiện ra gần $300 triệu đã biến mất vào hư không—không phải qua một lỗ hổng hợp đồng thông minh phức tạp, mà qua một tin nhắn đơn giản nói dối. Đó chính xác là những gì đã xảy ra vào ngày 18 tháng 4 năm 2026, khi cầu nối chéo chuỗi của KelpDAO trở thành nạn nhân của vụ hack DeFi lớn nhất trong năm, với kẻ tấn công rút sạch 116.500 rsETH trị giá khoảng $292 triệu chỉ trong 46 phút, gây chấn động toàn bộ hệ sinh thái tài chính phi tập trung và để lại ether đã đóng gói bị mắc kẹt trên 20 chuỗi khối khác nhau. Cuộc tấn công không chỉ tinh vi—nó còn mang tính phẫu thuật. Những kẻ thủ phạm, sau này được cho là thuộc nhóm Lazarus nổi tiếng của Bắc Triều Tiên, đã dành 8 đến 10 giờ chuẩn bị bảy ví mới được cấp quỹ qua Tornado Cash, tạo tiền đề cho một bài học đỉnh cao về khai thác chéo chuỗi. Vào khoảng 17:35 UTC, họ tấn công cầu nối của KelpDAO dựa trên LayerZero, vốn dựa vào một cấu hình mạng xác thực phi tập trung nguy hiểm 1-1 DVN (Mạng xác thực phi tập trung)—một điểm yếu duy nhất mà các hacker đã rõ ràng xác định là điểm vào của họ. Bằng cách xâm nhập hai nút RPC của LayerZero và DDoS một nút thứ ba để buộc chuyển sang hạ tầng độc hại của họ, các hacker đã chèn các tin nhắn chéo chuỗi giả mạo khiến cầu nối tin rằng các đốt cháy hợp lệ đã xảy ra trên các chuỗi nguồn, thúc đẩy hợp đồng phát hành rsETH không được đảm bảo dự trữ Ethereum trực tiếp vào ví do kẻ tấn công kiểm soát. Sự tinh tế của vụ khai thác không nằm ở việc phá vỡ mã, mà ở việc thao túng các giả định về niềm tin mà toàn bộ kiến trúc chéo chuỗi dựa vào—chỉ trong sáu phút sau khi rút tiền ban đầu, rsETH bị đánh cắp đã được rửa qua các nền tảng DeFi, gửi làm tài sản thế chấp trên Aave V3 và V4, Compound, Euler, và Morpho để vay khoảng $236 triệu ETH và WETH trước khi ai đó kịp phản ứng. Sự lây lan diễn ra ngay lập tức và dữ dội: Aave đóng băng các thị trường rsETH trong vòng vài giờ, ước tính nợ xấu tiềm năng từ $123 triệu đến $230 triệu, trong khi token AAVE giảm 23% và các thị trường chính đạt 100% sử dụng khi người dùng hoảng loạn rút tiền. Nhưng câu chuyện thực sự không chỉ là vụ trộm—mà còn là trò chơi đổ lỗi sau đó, với LayerZero khẳng định rằng giao thức của họ không có lỗi và đổ lỗi cho cấu hình duy nhất của KelpDAO là thủ phạm, trong khi KelpDAO phản bác rằng 1-1 là cấu hình mặc định đã được LayerZero ghi nhận từ tháng 1 năm 2024 và hạ tầng RPC của họ đã bị xâm phạm, lưu ý rằng khoảng 40% các giao thức sử dụng cấu hình tương tự mà không có cảnh báo về các lỗ hổng. Dữ liệu kể một câu chuyện rùng rợn: Dune analytics tiết lộ rằng 47% trong khoảng 2.665 ứng dụng LayerZero hiện tại sử dụng cấu hình 1-1, nghĩa là hàng nghìn giao thức có thể đang nằm trên những quả bom hẹn giờ tương tự. Hậu quả lan rộng vượt xa KelpDAO, với tổng giá trị bị khóa trong DeFi mất hơn $600 triệu trong hai tuần và từ $8 đến $10 tỷ đô la rút khỏi Ethereum và các Layer 2 trong vòng 48 giờ sau vụ việc, khi cộng đồng crypto đối mặt với một sự thật khó chịu—cầu nối chéo chuỗi vẫn là điểm yếu nhất của DeFi, không phải vì lỗi hợp đồng thông minh, mà vì các rủi ro hạ tầng như nhiễm độc RPC mà hầu hết người dùng chưa từng nghĩ tới. Vụ tấn công này đánh dấu một bước ngoặt trong cách chúng ta phải nghĩ về an ninh cầu nối: đó không phải là khai thác mã nguồn, mà là thất bại trong an ninh vận hành, nhắc nhở rằng trong thế giới tương tác chéo chuỗi, lớp xác minh tin nhắn chỉ mạnh bằng thành phần trung tâm nhất của nó. Phương pháp của nhóm Lazarus ở đây phản ánh các vụ trộm tiền điện tử trước đó của họ, kết hợp xâm nhập kiên nhẫn, thao túng niềm tin và che giấu phát hiện thành một gói tàn phá, vượt qua mọi giả định an ninh truyền thống. Đối với người dùng DeFi hàng ngày, bài học rõ ràng và cấp bách: khi bạn chuyển tài sản qua các chuỗi, bạn không chỉ tin vào hợp đồng thông minh—bạn còn tin vào toàn bộ hạ tầng xác minh, các nút RPC, cấu hình DVN và an ninh vận hành của từng thành phần trong chuỗi đó. Phản ứng của KelpDAO bao gồm tạm dừng các hợp đồng, đưa vào danh sách đen các kẻ khai thác và chặn thêm $95 triệu đô la trong các vụ rút tiền tiếp theo, nhưng thiệt hại về niềm tin đã xảy ra rồi. Khi ngành công nghiệp đối mặt với lời cảnh tỉnh này, việc thúc đẩy cấu hình đa DVN và các mạng xác minh đa dạng đã tăng tốc, với LayerZero thông báo sẽ ngừng hỗ trợ hoàn toàn các thiết lập 1-1. Tuy nhiên, câu hỏi lớn hơn vẫn chưa có lời giải: nếu gần một nửa các ứng dụng LayerZero hiện tại đang sử dụng cấu hình dễ bị tổn thương, thì còn bao nhiêu KelpDAO khác đang chờ bị khai thác? Câu hỏi $292 triệu đô la không chỉ là về việc khôi phục quỹ bị đánh cắp—mà còn về việc liệu DeFi có thể trưởng thành vượt qua thời kỳ vị thành niên hạ tầng của nó trước khi nhóm Lazarus tiếp tục ghé thăm.