Kẻ tấn công đã rút 116.500 rsETH từ cầu nối LayerZero của Kelp DAO, gây ra các đợt đóng băng khẩn cấp tại chín giao thức và khiến TVL của Aave giảm 6 tỷ USD.
Kelp DAO, một giao thức liquid restaking với TVL 1,57 tỷ USD, đã mất khoảng 293 triệu USD vào ngày 18 tháng 4 sau khi kẻ tấn công khai thác lỗ hổng trong cầu nối cross-chain được hỗ trợ bởi LayerZero, biến đây thành vụ khai thác DeFi lớn nhất năm 2026.
Kẻ tấn công đã giả mạo một tin nhắn cross-chain thông qua lớp nhắn tin của LayerZero, đánh lừa cầu nối của Kelp tin rằng một lệnh hợp lệ đã đến từ mạng khác. Cầu nối sau đó giải phóng 116.500 rsETH, khoảng 18% tổng nguồn cung lưu hành của token, đến địa chỉ do kẻ tấn công kiểm soát.
Trong vài phút, rsETH bị đánh cắp đã được gửi làm tài sản thế chấp trên giao thức cho vay Aave, nơi kẻ tấn công đã vay hơn 200 triệu USD wrapped ether trước khi cộng đồng phát hiện tài sản thế chấp không có đảm bảo. Kelp đã kích hoạt các biện pháp kiểm soát khẩn cấp khoảng 46 phút sau vụ khai thác ban đầu, đóng băng tiền gửi, rút tiền, chức năng oracle và chính token rsETH.
Thiệt hại lan rộng vượt xa Kelp. Ít nhất chín giao thức DeFi đã vội vàng đóng băng thị trường hoặc triển khai các biện pháp kiểm soát thiệt hại. Aave ghi nhận mức giảm 6 tỷ USD trong tổng giá trị bị khóa, và token AAVE giảm 16% khi các nhà giao dịch định giá rủi ro tài sản thế chấp không có đảm bảo trong các pool cho vay của giao thức.
Vụ khai thác làm nổi bật các lỗ hổng dai dẳng trong cơ sở hạ tầng cầu nối cross-chain. Bất chấp nhiều năm các vụ hack cầu nối đình đám, lớp nhắn tin LayerZero, hỗ trợ khả năng tương tác cho hàng chục giao thức, đã chứng tỏ dễ bị tổn thương trước các lệnh giả mạo. Sự cố đặt ra những câu hỏi mới về cách các giao thức liquid restaking quản lý bảo mật cầu nối khi mở rộng sang nhiều chuỗi.
Các nhà phân tích cho rằng con đường phục hồi thực tế nhất là đàm phán phần thưởng 10-15% với hacker để thu hồi phần lớn số tiền bị đánh cắp. Kelp DAO cho biết đang làm việc với LayerZero, các kiểm toán viên và công ty bảo mật để điều tra nguyên nhân gốc rễ. Nhà sáng lập Aave Stani Kulechov xác nhận rằng các hợp đồng thông minh của Aave không bị xâm phạm, nhưng thị trường rsETH trên V3 vẫn đang bị đóng băng cho đến khi có giải pháp.
Đây là tin tức đang phát triển. Kelp DAO đã kêu gọi người dùng chỉ theo dõi các kênh chính thức để cập nhật trong khi nỗ lực phục hồi tiếp tục.
A CAPO oracle misconfiguration on Aave caused 34 users to lose positions worth $27M, with full reimbursement pledged by the DAO.
Key Aave contributor BGD Labs will end all technical work on April 1, citing centralization concerns and friction with Aave Labs over v4 development.
The DeFi lending protocol faces internal conflict over brand control and fee allocation, triggering a whale sell-off while founder Stani Kulechov buys the dip.
Tuyên bố miễn trừ: Nội dung tin tức chỉ dành cho mục đích thông tin và không nên được coi là tư vấn tài chính. Điều kiện thị trường có thể thay đổi nhanh chóng. Luôn tự nghiên cứu.
