#KelpDAOBridgeHacked

2026 Nghiêm trọng nhất về Lỗ hổng DeFi – Cầu rsETH của Kelp DAO bị rút sạch $292 Triệu đô la
Vào ngày 18 tháng 4 năm 2026, khoảng 17:35 UTC, giao thức đặt lại thanh khoản Kelp DAO đã gặp phải một vụ vi phạm an ninh lớn trong cầu chéo chuỗi được hỗ trợ bởi LayerZero. Kẻ tấn công đã thành công rút sạch 116.500 rsETH (Ether đã đặt lại), trị giá khoảng 292–293 triệu đô la. Số tiền này chiếm khoảng 18% tổng cung lưu hành của rsETH và là vụ hack DeFi lớn nhất ghi nhận được trong năm 2026 cho đến nay.
Cách vụ tấn công xảy ra
Cầu rsETH của Kelp DAO dựa vào hạ tầng truyền tin chéo chuỗi của LayerZero, cụ thể là hợp đồng EndpointV2, để cho phép chuyển đổi tài sản liền mạch giữa các chuỗi khác nhau. Kẻ tấn công đã khai thác bằng cách gọi hàm lzReceive và chèn một tin nhắn chéo chuỗi giả mạo. Tin nhắn này đã thao túng logic xác minh của cầu, khiến nó tin rằng các khoản tiền hợp lệ đã đến từ mạng khác, dẫn đến việc phát hành 116.500 rsETH trực tiếp đến địa chỉ do kẻ tấn công kiểm soát.
Ví dùng trong vụ khai thác đã được nạp tiền qua Tornado Cash khoảng 10 giờ trước đó—một kỹ thuật phổ biến để che giấu nguồn gốc giao dịch. Cầu hoạt động trên mạng chính Ethereum và nhiều mạng Layer-2, bao gồm Arbitrum, giúp tác động chéo chuỗi diễn ra nhanh chóng. Các nhà phân tích cho rằng việc phụ thuộc quá nhiều vào cấu hình mặc định và tài liệu của LayerZero đã góp phần vào vụ việc.
Phản ứng nhanh của Kelp DAO
Nhóm Kelp DAO đã phát hiện hoạt động đáng ngờ nhanh chóng và đưa ra tuyên bố:
“Chúng tôi đã xác định hoạt động chéo chuỗi đáng ngờ liên quan đến rsETH. Trong khi cuộc điều tra vẫn đang tiếp tục, chúng tôi đã tạm dừng các hợp đồng rsETH trên mạng chính và một số mạng Layer-2. Chúng tôi đang làm việc chặt chẽ với LayerZero, Unichain, các kiểm toán viên của chúng tôi và các chuyên gia an ninh hàng đầu để phân tích nguyên nhân gốc rễ.”
Bằng cách ngay lập tức tạm dừng các hợp đồng rsETH, giao thức đã ngăn chặn khả năng rút sạch tiếp theo ước tính thêm $100 triệu đô la hoặc hơn nữa. Tuy nhiên, mất mát thanh khoản đã ảnh hưởng nghiêm trọng đến giá trị của rsETH và để lại các tài sản ETH đã đóng gói bị mắc kẹt trên hơn 20 chuỗi khác nhau.
Hiệu ứng domino trên DeFi và khủng hoảng thanh khoản
Vụ hack đã kích hoạt một “cuộc chạy ngân hàng” lan rộng trong hệ sinh thái DeFi. Các nền tảng cho vay lớn như Aave đã kích hoạt đóng băng thị trường khẩn cấp, với khoảng $9 tỷ đô la (chiếm khoảng 33% TVL) của họ đã rút ra và tạo ra khoảng 196–236 triệu đô la nợ xấu. Các giao thức khác như SparkLend, Fluid, Upshift, Morpho và nhiều nền tảng khác cũng chịu áp lực thanh khoản tương tự.
Tổng giá trị bị khóa trong DeFi (TVL) giảm từ 8–13 tỷ đô la trong vòng 48 giờ, với căng thẳng còn thấy trong một số pool của Solana. Sự cố này một lần nữa nhấn mạnh cầu chéo chuỗi là một trong những thành phần dễ tổn thương nhất trong hạ tầng DeFi. Chỉ riêng tháng 4 năm 2026, các vụ hack đã vượt quá (triệu đô la tổng thiệt hại, với vụ việc của Kelp DAO vượt qua kỷ lục trước đó do Drift Protocol thiết lập, khoảng )280–286 triệu đô la$600 chỉ cách đó ba tuần.
Đồn đoán về nhóm Lazarus và cuộc điều tra đang diễn ra
Một số công ty an ninh và nhà phân tích trên chuỗi đã gợi ý có thể liên quan đến nhóm Lazarus của Triều Tiên, với LayerZero cũng cho biết có các tín hiệu liên quan. Chưa có xác nhận chính thức nào được đưa ra. Một phần số tiền bị đánh cắp đã được đổi thành ETH trên Ethereum và Arbitrum khi kẻ tấn công cố gắng che giấu dấu vết; các nỗ lực theo dõi vẫn đang tiếp tục.
Bài học cho ngành công nghiệp
Vụ hack cầu Kelp DAO nhấn mạnh những rủi ro lớn liên quan đến việc đặt lại thanh khoản và kiến trúc cầu chéo chuỗi toàn diện. Trong khi LayerZero và các giải pháp tương tự cung cấp khả năng tương tác mạnh mẽ, chúng vẫn dễ bị tấn công vào các điểm yếu đơn lẻ và giả mạo tin nhắn.
Kelp DAO đã cam kết phát hành một báo cáo phân tích chi tiết sau khi cuộc điều tra đầy đủ kết thúc. Đối với người dùng và nhà phát triển DeFi, sự kiện này là một lời nhắc nhở rõ ràng về việc cần tăng cường bảo mật cầu, triển khai hệ thống xác minh đa dạng và nâng cao các quy trình ứng phó khẩn cấp.