Một kẻ tấn công đã rút hết 116,500 rsETH từ cầu nối LayerZero của Kelp DAO trong vụ khai thác DeFi lớn nhất năm 2026, kích hoạt các lệnh đóng băng khẩn cấp trên Aave, SparkLend và Fluid.
Kelp DAO đã mất $292 triệu rsETH sau khi một kẻ tấn công lợi dụng lỗ hổng trong cầu nối cross-chain do LayerZero cung cấp của giao thức, trở thành vụ khai thác DeFi lớn nhất năm 2026.
Vào ngày 18 tháng 4, một kẻ tấn công đã thao túng tầng nhắn tin cross-chain của LayerZero để lừa cầu nối Kelp DAO phát hành 116,500 rsETH, tương đương khoảng 18% lượng cung lưu thông của token. Việc rút tiền diễn ra lúc 17:35 UTC thông qua một lệnh gọi tới hàm lzReceive trên hợp đồng EndpointV2 của LayerZero, điều này kích hoạt cầu nối để phát hành quỹ tới một địa chỉ được kiểm soát bởi kẻ tấn công.
Kelp's emergency pauser multisig đã đóng băng các hợp đồng cốt lõi của giao thức 46 phút sau đó lúc 18:21 UTC. Hai nỗ lực tiếp theo lúc 18:26 và 18:28 UTC, mỗi lần chứa các gói LayerZero cho thêm 40,000 rsETH trị giá khoảng $100 triệu, đã bị chặn bởi lệnh đóng băng. Kẻ tấn công đã sử dụng Tornado Cash để tài trợ cho ví ban đầu và sau đó thế chấp rsETH bị đánh cắp trên Aave V3 để vay ETH và WETH trước khi chuyển hướng các khoản tiền qua Tornado Cash một lần nữa.
Vụ khai thác này là sự cố bảo mật DeFi lớn nhất năm nay, vượt quá vụ hack Drift protocol bởi nhiều triệu đô la. Điều quan trọng hơn, việc rút tiền đã ảnh hưởng đến các quỹ dự trữ rsETH hỗ trợ token trên hơn 20 mạng, đặt ra những câu hỏi về khả năng thanh toán của rsETH trên các chuỗi layer 2.
Aave, SparkLend, Fluid và Upshift đều đã đóng băng các thị trường liên quan đến rsETH trong vòng vài giờ như một biện pháp phòng ngừa. Giá token AAVE đã giảm khoảng 10% sau sự cố này. Sự cố này tạo thêm áp lực cho cuộc tranh luận về bảo mật cầu nối cross-chain, vốn là một điểm yếu lặp đi lặp lại đối với DeFi kể từ các vụ khai thác Wormhole và Ronin của những năm trước. Nhà điều tra trên chuỗi ZachXBT đã phát cảnh báo sớm về vụ khai thác và truy tìm các chuyển động của kẻ tấn công trên các thị trường cho vay DeFi của Ethereum.
Kelp DAO chưa phát hành báo cáo hậu kỳ hoặc tiết lộ liệu có kế hoạch phục hồi đang diễn ra hay không. Những câu hỏi chính bây giờ là liệu giao thức có thể đàm phán để lấy lại quỹ hay không (như một số người khai thác đã làm trong quá khứ), và cách Aave cũng như các giao thức cho vay khác sẽ xử lý nợ xấu tiềm ẩn được tạo bởi các vị trí vay của kẻ tấn công. Mô hình bảo mật của LayerZero cũng đang bị kiểm tra kỹ, vì cuộc tấn công đã lợi dụng tầng nhắn tin thay vì các hợp đồng thông minh của chính Kelp.
Đây là một câu chuyện đang phát triển. Vụ khai thác $292 triệu của Kelp DAO nhấn mạnh những rủi ro dai dẳng trong cơ sở hạ tầng cầu nối cross-chain, ngay cả khi hệ sinh thái DeFi rộng hơn tiếp tục phát triển. Những người dùng bị ảnh hưởng nên giám sát các kênh chính thức của Kelp DAO để cập nhật về các nỗ lực phục hồi quỹ.
Tuyên bố miễn trừ: Nội dung tin tức chỉ dành cho mục đích thông tin và không nên được coi là tư vấn tài chính. Điều kiện thị trường có thể thay đổi nhanh chóng. Luôn tự nghiên cứu.
