2026 Sự kiện an toàn lớn nhất bùng phát: Cầu nối chéo Kelp DAO rsETH bị hacker tấn công, thiệt hại lên tới 293 triệu USD, các giao thức DeFi như Aave xuất hiện khoản nợ xấu khổng lồ

Tổng quan | Grok

Biên tập | Wu nói về blockchain

Ngày 19 tháng 4 (sự kiện thực tế xảy ra vào khoảng 17:35 UTC ngày 18 tháng 4), cộng đồng tiền mã hóa hoàn toàn bị các tin về vụ khai thác quy mô lớn của cầu nối cross-chain Kelp DAO rsETH làm tràn ngập.

Đây là vụ việc an ninh DeFi lớn nhất từ đầu năm 2026 đến nay, thiệt hại khoảng 292–293 triệu USD, trực tiếp liên quan đến khoảng 116.500 rsETH (chiếm khoảng 18% tổng lượng lưu thông rsETH).

Hackers đã giả mạo tin nhắn qua cầu nối cross-chain do LayerZero điều khiển, tạo ra lượng lớn rsETH không có thực thế chấp trên chuỗi chính Ethereum, sau đó dùng các “tài sản ảo” này làm tài sản thế chấp gửi vào các giao thức vay mượn chính như Aave, Compound, Euler, vay khoảng 236 triệu USD ETH/WETH thật, gây ra rủi ro nợ xấu tổng cộng khoảng 177–280 triệu USD trên nhiều giao thức. Sự kiện nhanh chóng lan truyền trên nền tảng X (trước Twitter), cộng đồng tiếng Trung và Anh thảo luận vượt mốc 1 tỷ lượt trong vài giờ, gây ra những tranh luận rộng rãi về an ninh cầu nối cross-chain, cơ chế staking lại LRT và rủi ro hệ thống của DeFi.

Dòng thời gian đầy đủ của sự kiện

Ngày 18 tháng 4, khoảng 17:35 UTC: vụ tấn công chính thức bắt đầu. Hacker lợi dụng lỗ hổng cấu hình của Kelp DAO trên cầu nối LayerZero (mô hình 1/1 DVN, tức chỉ dựa vào một nút xác thực duy nhất), giả mạo tin nhắn cross-chain, gọi hàm lzReceive trên chuỗi chính Ethereum để phát hành 116.500 rsETH không có backing thực. Trên X, nhiều người theo dõi chuỗi (như @zachxbt) đã đăng bài chỉ rõ hash giao dịch và các ghi nhận đúc tiền bất thường.

Giai đoạn giữa của vụ tấn công: hacker dùng các công cụ ẩn danh như Tornado Cash để làm mờ nguồn tiền, sau đó nhanh chóng gửi các rsETH giả mạo này vào các giao thức vay mượn chính như Aave V3, Compound, Euler, tổng cộng 9 nền tảng, để thế chấp vay ra lượng lớn ETH/WETH thật. Các bài đăng trên cộng đồng X cho thấy tỷ lệ utilization của các pool vay mượn tăng vọt gần 100%, một số giao thức có lượng rút ra trong ngày vượt quá 6,6 tỷ USD.

Phản ứng của Kelp DAO: Khoảng 46 phút sau khi tấn công bắt đầu, ví đa chữ ký của Kelp DAO phát hiện hoạt động đáng ngờ, khẩn cấp tạm dừng các chức năng liên quan đến rsETH trên nhiều chuỗi chính và Layer2. Tài khoản chính thức của dự án trên X xác nhận “đang xảy ra hoạt động đáng ngờ với rsETH cross-chain” và cho biết đã phối hợp với nhóm LayerZero, các đơn vị kiểm toán và chuyên gia an ninh để điều tra toàn diện.

Tối ngày 18 tháng 4 đến ngày 19 tháng 4: chính thức từ Aave trên X phát thông báo tạm thời phong tỏa thị trường thế chấp rsETH để ngăn chặn thiệt hại lan rộng. Các giao thức như Compound, Euler cũng lần lượt tạm dừng hoặc hạn chế hoạt động liên quan đến tài sản này. LayerZero cũng đăng phản hồi trên X: “đã biết vụ việc, đang điều tra nguyên nhân gốc rễ”.

Toàn bộ quá trình này được ghi lại như một buổi phát trực tiếp trên X, nhiều KOL chia sẻ dữ liệu chuỗi, đặc biệt nhấn mạnh việc Justin Sun và các cá nhân lớn rút vốn quy mô lớn khỏi Aave, làm tăng thêm sự hoảng loạn trên thị trường.

Phân tích chi tiết kỹ thuật (các nhà phát triển và nhà nghiên cứu an ninh trên X)

Dựa theo các bài viết kỹ thuật trên X (như @kittendong phân tích sâu bằng tiếng Trung), lỗ hổng chính của vụ tấn công nằm ở cấu hình của Kelp DAO đối với LayerZero OApp (Omnichain Application): sử dụng mô hình 1/1 DVN (chỉ dựa vào một nút xác thực duy nhất), hacker có thể giả mạo tin xác thực cross-chain. Thủ đoạn là tạo payload tinh vi, kích hoạt đúc rsETH không có tài sản thế chấp thực trên chuỗi mục tiêu. Cơ chế này về bản chất giúp hacker “mượn không” gần 3 tỷ USD giá trị tài sản tổng hợp.

Sau đó, hacker dùng các rsETH này làm tài sản thế chấp quá mức (over-collateralized) gửi vào các giao thức vay mượn, vay ra ETH thật, tạo ra dạng tấn công kiểu “flash loan”. Các nhà nghiên cứu an ninh trên X nhận định, vụ việc này rất giống với vụ Nomad Bridge năm 2022, lộ rõ rủi ro hệ thống của “cầu nối cross-chain + LRT (Liquid Restaking Token)”: rsETH như một sản phẩm phái sinh của việc staking ETH, nhưng quá trình tạo ra trên cross-chain thiếu các cơ chế xác thực phân tán đủ mạnh và kiểm tra xác nhận theo thời gian thực.

Ngoài ra, một số bài viết còn đề cập khả năng hacker đã lợi dụng các khóa riêng hoặc cấu hình bị lộ của hợp đồng Kelp DAO (hiện vẫn đang điều tra), toàn bộ chuỗi tấn công diễn ra hiệu quả và kín đáo, phí gas qua nhiều lớp làm mờ nguồn gốc.

Phản hồi chính thức và các biện pháp ứng phó

Kelp DAO: xác nhận trên X rằng “đã tạm dừng các chức năng hợp đồng liên quan đến rsETH trên nhiều chuỗi để tránh thiệt hại thêm”, đồng thời cam kết “phối hợp với LayerZero, các đơn vị kiểm toán để công bố báo cáo sơ bộ trong 24–48 giờ tới”.

LayerZero: đăng bài trên X nói “đang tập trung điều tra nguyên nhân gốc rễ, sẽ cung cấp cập nhật minh bạch trong thời gian sớm nhất”, đồng thời kêu gọi các dự án tích hợp LayerZero kiểm tra lại cấu hình DVN.

Aave: thông báo trên X “đã phong tỏa thị trường rsETH, đảm bảo an toàn thanh khoản của giao thức”, nhưng cộng đồng vẫn lo ngại quy mô nợ xấu có thể lên tới 280 triệu USD.

Các giao thức khác như Compound, Euler cũng đồng loạt phát hành thông báo tương tự, các bài đăng cập nhật liên tục trên X cho thấy ít nhất 16 giao thức vay mượn/DEX đã thực hiện các biện pháp hạn chế.

Ảnh hưởng thị trường và phản ứng dây chuyền

Sự kiện gây chấn động mạnh thị trường DeFi:

Giá token: AAVE giảm 17–19% trong 24 giờ, gây thanh lý hàng loạt các vị thế mua bán; token ZRO của LayerZero giảm khoảng 20%; rsETH bị mất peg nghiêm trọng, giá thấp hơn ETH rõ rệt.

Tác động thanh khoản: các pool ETH của Aave và các giao thức khác gần như đạt mức utilization 100%, rút ròng trong ngày vượt quá 6,6 tỷ USD, tổng TVL của DeFi trong thời gian ngắn giảm gần 100 tỷ USD.

Hiệu ứng lan truyền: nhiều nhà phân tích trên X vẽ sơ đồ “đường lây lan”, chỉ ra nợ xấu có thể ảnh hưởng toàn bộ hệ sinh thái LRT và các tài sản cross-chain.

So sánh lịch sử: vụ việc lần này vượt qua thiệt hại 285 triệu USD của Drift cách đây 18 ngày, trở thành vụ tấn công lớn nhất trong năm 2026.

Nhiều bài viết chỉ trích mô hình “1/1 DVN” của LayerZero như “bom hẹn giờ”, kêu gọi các dự án cross-chain nâng cấp ngay sang mô hình xác thực nhiều nút hơn (ít nhất 2/3 hoặc cao hơn). Một số nhà phát triển nhấn mạnh “tốc độ không thể đánh đổi an toàn”.

Rủi ro LRT và tài sản tổng hợp: cộng đồng chung nhận định rsETH và các tài sản phái sinh staking khác trong cross-chain thiếu minh bạch, @zachxbt cùng các bài viết nhấn mạnh “LRT không có backing thực là điểm tấn công lớn nhất hiện nay”.

Lo ngại hệ thống DeFi: nhiều nhà phân tích mô phỏng phản ứng dây chuyền, khuyên người dùng kiểm tra các vị thế của Aave, Compound và rút vốn khỏi các khoản nắm giữ rủi ro. Các bình luận của cộng đồng Việt Nam tràn ngập câu hỏi “Lại một vụ cầu nối tỷ đô nữa rồi”, “DeFi còn đáng tin không?”, “Yêu cầu nâng cao tiêu chuẩn an toàn”…

Một số bài viết khen ngợi phản ứng nhanh của Kelp DAO (tạm dừng trong vòng 46 phút), cho rằng sự kiện này sẽ thúc đẩy ngành áp dụng các giải pháp bảo mật như chứng minh không kiến thức (ZK), đa chữ ký và giám sát thời gian thực.

Tổng thể, tâm lý chung là “sốc + cảnh giác”, nhưng cũng có ý kiến cho rằng “phơi bày vấn đề còn tốt hơn che giấu, giúp ngành phát triển bền vững hơn”.

Bài học và khuyến nghị ngành

Vụ việc rsETH của Kelp DAO lần này một lần nữa cảnh báo: ngay cả các giao thức staking lại phổ biến cũng còn tồn tại lỗ hổng hệ thống trong thiết kế cầu nối cross-chain, cấu hình nút xác thực và minh bạch tài sản thế chấp. Các ý kiến cộng đồng gồm:

Các dự án cần kiểm tra lại tích hợp LayerZero, ưu tiên cấu hình phân tán hơn.

Người dùng nên thận trọng với các tài sản cross-chain mới, ưu tiên các dự án có TVL cao, đã kiểm toán rõ ràng, phân tán rủi ro.

Ngành cần thúc đẩy nhanh các chuẩn an toàn, như bắt buộc nhiều nút xác thực hơn, kiểm tra xác thực theo thời gian thực trên chuỗi.

Hiện vụ việc vẫn đang tiếp tục điều tra, Kelp DAO, LayerZero và các giao thức bị ảnh hưởng sẽ tiếp tục cập nhật trên X. Thị trường tiền mã hóa vẫn biến động, an toàn luôn là ưu tiên hàng đầu. Khuyến nghị mọi người theo dõi sát các tài khoản chính thức để tránh bị tin đồn gây hiểu lầm.