Sự kiện an toàn DeFi 2026: Rủi ro liên chuỗi do lỗ hổng Kelp DAO và phân tích rủi ro tín dụng của Aave

Vào ngày 18 tháng 4 năm 2026 UTC 17:35, một giao dịch chéo chuỗi tưởng chừng bình thường đã kích hoạt vụ việc an ninh có ảnh hưởng lớn nhất trong lịch sử DeFi. Cầu nối rsETH của Kelp DAO bị tấn công do cấu hình sai, kẻ tấn công đã tạo ra 116.500 rsETH không có thế chấp thực sự, trị giá khoảng 293 triệu USD, chiếm khoảng 18% tổng cung lưu thông của token này. Sự kiện này không chỉ phá vỡ kỷ lục thiệt hại trong một lần tấn công DeFi năm 2026, mà còn gây ra cuộc khủng hoảng hệ thống do tính chất phối hợp giữa các giao thức DeFi: TVL của Aave trong hai ngày đã mất 8,45 tỷ USD, tổng TVL của toàn bộ DeFi chuỗi giảm 13,21 tỷ USD.

Tuy nhiên, vụ việc của Kelp DAO không phải là trường hợp cá biệt. Trong bốn tháng đầu năm 2026, lĩnh vực DeFi đã xảy ra nhiều vụ an ninh, thiệt hại tích lũy lên tới hàng trăm triệu USD. Từ chiếm đoạt quyền quản trị đến khai thác lỗ hổng cầu nối, từ thao túng giá oracle đến tấn công hợp đồng thông minh, các phương thức tấn công ngày càng phức tạp hơn, và sự liên kết chặt chẽ giữa các giao thức khiến tác động của điểm yếu đơn lẻ càng trở nên nghiêm trọng gấp nhiều lần.

Diễn biến vụ khai thác cầu nối Kelp DAO

Vào ngày 18 tháng 4 năm 2026 UTC 17:35, kẻ tấn công lợi dụng lỗ hổng cấu hình của Kelp DAO trên cầu nối LayerZero, thông qua việc giả mạo tin nhắn chéo chuỗi để phát hành 116.500 rsETH trên mạng chính Ethereum mà không có thế chấp thực sự. Sau 46 phút, Kelp DAO đã kích hoạt chức năng tạm dừng khẩn cấp nhiều chữ ký để ngưng hoạt động của hợp đồng rsETH trên mạng chính và nhiều chuỗi Layer 2 khác. Trong thời gian này, kẻ tấn công còn hai lần thử lại, cố gắng tạo thêm 40.000 rsETH mỗi lần, nhưng đều bị hoàn tác do hợp đồng bị đóng băng.

Sau khi thành công, kẻ tấn công không bán ngay số rsETH này trên thị trường thứ cấp, mà chủ yếu gửi vào các nền tảng như Aave V3 và V4 để thế chấp, vay các tài sản thật như WETH và ETH. Theo dữ liệu trên chuỗi, kẻ tấn công đã thế chấp và bán ra tổng cộng khoảng 106.500 ETH, trị giá khoảng 250 triệu USD.

Hành động này khiến Aave đối mặt với rủi ro nợ xấu từ 177 triệu đến 236 triệu USD. Chính thức, Aave đã nhanh chóng phong tỏa thị trường rsETH trên mạng chính Ethereum và các chuỗi Layer 2 như Arbitrum, Optimism, Base, đồng thời điều chỉnh Loan-to-Value của rsETH về 0. Các giao thức như Compound, Euler cũng lần lượt tạm dừng hoặc hạn chế hoạt động liên quan đến tài sản này.

Từ lỗ hổng kích hoạt đến phản ứng dây chuyền

Phản ứng của cộng đồng về tốc độ phản hồi của Kelp DAO có nhiều ý kiến khác nhau. Một số thành viên cho rằng 46 phút phản ứng trong các vụ tấn công cầu nối là khá nhanh; nhưng cũng có ý kiến cho rằng, từ 17:35 đến 20:10, đã trôi qua gần 3 giờ đồng hồ, tạo ra khoảng trống thông tin khiến thị trường hoảng loạn hơn. Thêm vào đó, việc Kelp DAO áp dụng cấu hình 1/1 DVN đã gây ra tranh luận về độ an toàn của các cuộc kiểm tra bảo mật.

Phân tích dữ liệu và cấu trúc: Đánh giá định lượng phản ứng dây chuyền

Tổng quan về an ninh DeFi năm 2026

Tần suất tấn công và quy mô thiệt hại

Trong 18 ngày đầu tháng 4 năm 2026, các giao thức mã hóa đã thiệt hại hơn 606 triệu USD do các vụ tấn công của hacker, trở thành tháng thiệt hại nặng nề nhất kể từ tháng 2 năm 2025. Trong đó, Drift Protocol ngày 1 tháng 4 thiệt hại khoảng 285 triệu USD do chiếm đoạt quyền quản trị, còn vụ của Kelp DAO thiệt hại khoảng 293 triệu USD, chiếm phần lớn tổng thiệt hại tháng đó. Các vụ tấn công liên tiếp với thiệt hại lớn phản ánh rằng an ninh DeFi đang đối mặt với một đợt thử nghiệm áp lực mới.

Xu hướng tiến hóa của phương thức tấn công

Các nhà nghiên cứu an ninh nhận thấy, phương thức tấn công năm 2026 có hai đặc điểm mới chính: thứ nhất, tỷ lệ khai thác lỗ hổng cầu nối và cấu hình tài sản phái sinh tăng lên, tấn công không còn giới hạn ở lỗ hổng mã hợp đồng thông minh mà mở rộng sang cấu hình và quản trị của giao thức; thứ hai, kẻ tấn công ngày càng thành thạo trong việc tận dụng tính phối hợp của các giao thức DeFi để mở rộng hiệu quả tấn công, biến điểm yếu đơn lẻ thành tác động hệ thống. Trong vụ của Kelp DAO, kẻ tấn công không bán trực tiếp tài sản tạo ra, mà dùng làm thế chấp để rút ra tài sản thật, chính là ví dụ điển hình của xu hướng này.

Phân tích tác động của Aave

Thay đổi TVL và giá token

Dựa trên dữ liệu thị trường của Gate và dữ liệu chuỗi, tính đến ngày 20 tháng 4 năm 2026, tác động của vụ tấn công đối với Aave như sau:

• Thay đổi TVL: TVL của Aave từ khoảng 26,396 tỷ USD trước ngày 18/4 giảm xuống còn 17,947 tỷ USD, giảm 8,45 tỷ USD trong hai ngày.
• Rút ròng: Rút ròng khoảng 6,2 tỷ USD, giảm khoảng 23%.
• Quản lý nợ xấu: Aave đang gánh chịu nợ xấu từ 177 triệu đến 236 triệu USD, chủ yếu tập trung ở cặp vay ETH/WETH trên mạng chính Ethereum.
• Tỷ lệ sử dụng vốn: Tỷ lệ sử dụng thị trường vay WETH đạt 100%, các pool USDT, USDC cũng đạt mức tối đa, hơn 5,1 tỷ USD stablecoin bị khóa trong các khoản vay mới hoặc người vay trả nợ.
• Rút vốn của cá mập: Abraxas Capital rút khoảng 392 triệu USD, MEXC rút khoảng 431 triệu USD, một cá mập liên quan Nonco rút khoảng 405 triệu USD.

** Đánh giá an toàn của hợp đồng chính của Aave**

Lưu ý rằng, vụ việc này không phải do hợp đồng chính của Aave bị tấn công. Kẻ tấn công sử dụng lỗ hổng cầu của Kelp DAO để tạo ra “tài sản thế chấp ảo”, sau đó tận dụng tính phối hợp của các giao thức DeFi để vay tài sản thật trong hệ thống Aave. Người sáng lập Aave, Stani, đã xác nhận trong AMA cộng đồng rằng đây là “ô nhiễm từ phía trên” chứ không phải lỗ hổng của hợp đồng. Đánh giá này đã nhận được sự đồng thuận trong cộng đồng nghiên cứu an ninh.

Hai khả năng bù đắp nợ xấu

Về cách Aave có thể bù đắp khoản nợ xấu, hiện có hai giả thuyết: thứ nhất, dùng dự trữ tài chính của giao thức và dòng thu nhập trung bình khoảng 12 triệu USD mỗi tháng để dần dần xử lý; thứ hai, nếu khoản nợ vượt quá khả năng dự trữ, có thể phải dùng đến token AAVE cầm cố trong các mô-đun an toàn, nghĩa là chi phí lỗ hổng của Kelp DAO sẽ được chuyển sang các người stake trung thành nhất của Aave. Tính đến ngày 20/4, Aave vẫn chưa công bố phương án cuối cùng.

Phân tích giá rsETH và hiện tượng mất peg

Thay đổi trạng thái lưu thông của rsETH

Vụ tấn công tạo ra 116.500 rsETH (chiếm khoảng 18% tổng cung) mà không có thế chấp thực sự. Trên hơn 20 chuỗi, các tài sản chéo chuỗi của rsETH đều đối mặt với sự không chắc chắn về thế chấp, cần chờ Kelp hoàn tất đối chiếu dự trữ và cung cấp lưu thông.

Chất vấn cơ chế định giá rsETH

Các nhà phân tích cho rằng, rsETH là đại diện của LRT (Liquid Restaking Token), giá trị của nó phụ thuộc lớn vào tính toàn vẹn của dự trữ ETH nền tảng. Nếu có sự rạn nứt giữa dự trữ và cung lưu thông, giá trị của tài sản sẽ bị ảnh hưởng nghiêm trọng. Cấu hình 1/1 DVN của Kelp thực chất tập trung trách nhiệm xác thực chéo chuỗi vào một node duy nhất, cấu trúc này trong khi tối ưu về hiệu quả lại làm tăng rủi ro an ninh, khiến các tài sản LRT trong môi trường chéo chuỗi dễ bị tổn thương hệ thống.

Chiến lược thận trọng của SparkLend

Kiểm chứng chiến lược phòng ngừa của Spark Protocol

Trưởng nhóm chiến lược của Spark, monetsupply.eth, tiết lộ rằng, từ tháng 1 năm 2026, Spark đã chủ động gỡ bỏ các tài sản ít sử dụng như rsETH, đồng thời thắt chặt phạm vi thế chấp và giới hạn chức năng. Chiến lược này từng gây phản ứng tiêu cực từ người dùng ETH đòn bẩy, nhưng trong vụ của Kelp, lại chứng minh là quyết định phòng ngừa cực kỳ thận trọng.

So sánh thanh khoản

Trong bối cảnh Aave gặp rủi ro từ rsETH gây căng thẳng thanh khoản ETH, SparkLend vẫn duy trì đủ thanh khoản ETH rút ra. Spark còn áp dụng giới hạn lãi suất vay ETH cao hơn, dù phải nhường phần nào thị phần cho Aave, nhưng đã xây dựng được bảng cân đối lành mạnh hơn trong cuộc khủng hoảng này.

Ý nghĩa của việc chọn lọc tài sản rủi ro

Việc Spark chủ động gỡ bỏ rsETH cho thấy một vấn đề quan trọng: trong các giao thức vay DeFi, việc chọn lọc chất lượng tài sản thế chấp còn quan trọng hơn việc mở rộng danh mục để tăng TVL. Khi xảy ra các sự kiện cực đoan, tiêu chuẩn chấp nhận tài sản rộng rãi có thể trở thành điểm yếu của hệ thống, còn chiến lược thận trọng trong chọn lọc tài sản chính là lớp phòng thủ đầu tiên của an toàn hệ thống.

Cơ hội tái cấu trúc cạnh tranh giữa các giao thức vay

Sau vụ việc, logic cạnh tranh giữa các giao thức vay DeFi có thể thay đổi. Chiến lược tăng trưởng dựa trên “tối đa hóa TVL” sẽ bị cộng đồng và nhà đầu tư xem xét lại, trong đó chất lượng tài sản và khả năng cách ly rủi ro sẽ trở thành tiêu chí đánh giá an toàn chính. Chiến lược của Spark sau khủng hoảng có thể dẫn dắt các giao thức khác điều chỉnh lại chính sách chọn lọc tài sản.

Đối thoại giữa cộng đồng, nhóm phát triển và nhà nghiên cứu an ninh

Phản hồi của cộng đồng: Từ hoảng loạn đến suy ngẫm

Rút tiền hoảng loạn và thảo luận dữ liệu

Sau sự kiện, lượng thảo luận trên nền tảng X của cộng đồng tiếng Trung và Anh đã vượt hàng trăm triệu. Ban đầu, cộng đồng phản ứng chủ yếu bằng rút tiền hoảng loạn và lo ngại an toàn tài sản, người sáng lập DeFiLlama 0xngmi viết rằng, ngay cả các giao thức không bị ảnh hưởng trực tiếp trên Solana cũng không thoát khỏi dòng chảy vốn. Ông nói rằng, toàn bộ TVL của DeFi đã giảm gần 100 tỷ USD, “Trong các vụ như thế này, không ai là người chiến thắng, chỉ làm cho ‘cái bánh’ của toàn ngành nhỏ lại, tất cả đều bị tổn thương”.

Quan điểm về quản lý rủi ro của Aave

Sau khi Aave phong tỏa thị trường rsETH, cộng đồng có hai ý kiến trái chiều. Người ủng hộ cho rằng, phản ứng nhanh của Aave đã ngăn chặn thiệt hại mở rộng, thể hiện khả năng chống chịu của các giao thức cho vay phi tập trung; người hoài nghi thì cho rằng, việc Aave chấp nhận rsETH làm thế chấp trước đó có thể chưa đánh giá đúng rủi ro, đặc biệt trong bối cảnh Spark đã gỡ bỏ rsETH từ tháng 1.

Phản hồi của nhóm phát triển và các giao thức

Các tuyên bố chính thức của các giao thức

• Kelp DAO: xác nhận trên tài khoản X rằng “đã phát hiện hoạt động chéo chuỗi đáng ngờ”, và đã phối hợp với đội ngũ LayerZero, các tổ chức kiểm toán và chuyên gia an ninh để điều tra toàn diện.
• LayerZero: đăng bài trên X cho biết “đã biết vụ việc và đang điều tra nguyên nhân gốc rễ”.
• Aave: tuyên bố rằng rsETH trên mạng chính Ethereum “được hỗ trợ đầy đủ”, nhưng vẫn giữ trạng thái phong tỏa để thận trọng, đồng thời nhấn mạnh rằng rủi ro đã được kiểm soát.

Tranh luận về trách nhiệm

Các nhà nghiên cứu an ninh đều cho rằng, việc Kelp DAO sử dụng cấu hình 1/1 DVN là nguyên nhân chính của vụ việc. Tuy nhiên, về trách nhiệm, có hai ý kiến: một cho rằng, Kelp DAO với vai trò phát triển giao thức phải chịu trách nhiệm chính; ý kiến khác cho rằng, LayerZero với vai trò hạ tầng chéo chuỗi cũng có trách nhiệm trong việc cung cấp hướng dẫn cấu hình và thực hành tốt nhất.

Quan điểm của nhà nghiên cứu an ninh

Định tính lỗ hổng kỹ thuật

Dựa trên các phân tích chuyên sâu của nhiều nhà nghiên cứu an ninh trên nền tảng X, điểm yếu chính của vụ tấn công nằm ở cấu hình của Kelp DAO đối với LayerZero OApp (Omnichain Application): sử dụng chế độ 1/1 DVN, chỉ dựa vào một node xác thực duy nhất, khiến kẻ tấn công có thể giả mạo tin nhắn xác thực chéo chuỗi. Thủ đoạn của kẻ tấn công là tạo payload tinh vi, kích hoạt tạo ra rsETH không có tài sản thế chấp thực, về bản chất là “bằng cách nào đó” tạo ra tài sản tổng trị giá gần 3 tỷ USD.

So sánh và bài học lịch sử

Các nhà nghiên cứu so sánh vụ này với vụ Nomad năm 2022: cả hai đều liên quan đến cấu hình xác thực chéo chuỗi thiếu an toàn, kẻ tấn công đều khai thác điểm yếu trong quá trình xác thực tin nhắn. Sau vụ Nomad, ngành đã nâng cao cảnh giác về an ninh cầu nối chéo chuỗi, nhưng theo thời gian, các thiết kế cầu mới và các loại tài sản phức tạp hơn (như LRT) lại mở ra các lỗ hổng mới. Vụ của Kelp cho thấy, vấn đề an ninh cầu nối chéo vẫn còn rất nhiều rủi ro, và ngày càng phức tạp hơn do tính đa dạng của tài sản.

Ảnh hưởng ngành: Từ điểm yếu đơn lẻ đến truyền dẫn rủi ro hệ thống

Ảnh hưởng đến niềm tin vào LRT

Giá trị của tài sản LRT bị thử thách

rsETH là một trong những tài sản đại diện của dòng LRT. Vụ việc này phơi bày rủi ro cấu trúc của tài sản LRT trong môi trường chéo chuỗi: giá trị của chúng phụ thuộc vào tính toàn vẹn của dự trữ ETH nền tảng, trong khi lỗ hổng cầu nối có thể tạo ra token “không có giá trị thế chấp” mà không cần tác động trực tiếp đến dự trữ. Điều này làm lung lay nền tảng niềm tin của toàn bộ dòng LRT.

Tiêu chuẩn minh bạch và kiểm toán của các giao thức LRT có thể nâng cao

Sau vụ việc, ngành có thể đặt ra các tiêu chuẩn nghiêm ngặt hơn về minh bạch dự trữ và kiểm toán cho các giao thức LRT. Kelp cần công bố kết quả đối chiếu dự trữ, chứng minh tính toàn vẹn của lượng rsETH còn lưu hành. Quá trình này có thể trở thành bước ngoặt trong việc nâng cao tiêu chuẩn an toàn cho dòng LRT.

Đánh giá khả năng cách ly rủi ro của các giao thức vay

Ưu điểm của mô hình cách ly của Morpho

Trong vụ này, Morpho nhờ mô hình cách ly thị trường đã hạn chế rủi ro của rsETH trong khoảng 1 triệu USD, phân tán trên hai thị trường riêng biệt, không gây tác động hệ thống toàn diện. Trong khi đó, thiết kế pool vay chung của Aave khiến rủi ro nhiễm chéo lan truyền nhanh hơn.

Thiết kế kiến trúc giao thức quan trọng hơn kiểm soát điểm yếu

Sự khác biệt giữa Morpho và Aave trong vụ này cho thấy, trong an ninh DeFi, thiết kế kiến trúc để cách ly rủi ro còn quan trọng hơn các biện pháp kiểm soát sau này. Mô hình cách ly dù có thể giảm hiệu quả vốn, nhưng lại tạo ra “tường lửa” bảo vệ trong các tình huống cực đoan.

An ninh cầu nối chéo chuỗi: Vấn đề cũ, biến thể mới

Nguy cơ cấu hình của LayerZero

Nguyên nhân kỹ thuật của vụ này nằm ở cấu hình cầu của Kelp DAO theo chế độ 1/1 DVN. Cấu hình này tạo ra điểm yếu điểm đơn, kẻ tấn công chỉ cần phá vỡ node xác thực duy nhất để giả mạo tin nhắn. LayerZero, với vai trò hạ tầng chéo chuỗi, có thể có các rủi ro về cấu hình linh hoạt.

Thực hành tốt về an ninh cầu nối chéo chuỗi

Sau vụ việc, ngành có thể thúc đẩy các tiêu chuẩn thực hành an ninh cho cầu nối chéo chuỗi, như xác thực đa DVN, cơ chế khóa thời gian, giới hạn giao dịch. Các dự án như Curve đã tạm dừng hạ tầng LayerZero để đánh giá an toàn, có thể trở thành chuẩn mực trong tương lai.

Dự đoán đa tình huống: Từ khủng hoảng hiện tại đến tương lai an ninh DeFi

Đường đi chuẩn: Khủng hoảng dần được xử lý, tăng cường thể chế

Trong kịch bản này, Aave sẽ dùng dự trữ tài chính và dòng thu nhập để dần dần xử lý nợ xấu, Kelp hoàn tất đối chiếu dự trữ và công bố tính toàn vẹn của rsETH còn lưu hành, ngành sẽ trải qua giai đoạn khó khăn rồi phục hồi. Các biến số quan trọng gồm: Aave có thể xử lý nợ xấu mà không cần cắt giảm phần thưởng hay slash; kết quả đối chiếu của Kelp có thể giúp xác định giá trị thực của rsETH; các giao thức LRT khác có thể nâng cao minh bạch để lấy lại niềm tin.

Áp lực: Giá ETH giảm gây thanh lý hàng loạt

monetsupply.eth cảnh báo rằng, do ETH là tài sản thế chấp chính, khi tỷ lệ sử dụng đạt 100%, việc thanh lý sẽ không thể thực hiện. Trong bối cảnh thanh khoản của Aave đang căng thẳng, nếu giá ETH giảm 15-20%, có thể gây ra nợ xấu lớn hơn, buộc các mô-đun an toàn như stkAAVE phải huy động lần đầu quy mô lớn, người nắm giữ token sẽ chịu thiệt hại trực tiếp. Tình huống xấu hơn, thị trường vay ETH có thể rơi vào vòng xoáy “thiếu thanh khoản - thanh lý thất bại - nợ xấu tăng”, ảnh hưởng đến các giao thức khác dựa vào ETH làm thế chấp.

Tái cấu trúc: Nâng cấp hệ thống an ninh DeFi

Vụ này có thể thúc đẩy quá trình nâng cấp hệ thống an ninh DeFi. Các hướng phát triển gồm: tiêu chuẩn an toàn cho cấu hình cầu nối chéo (xác thực đa DVN, khóa thời gian, giới hạn giao dịch); chứng minh dự trữ của các giao thức LRT theo ngày hoặc theo thời gian thực; siết chặt tiêu chuẩn chấp nhận tài sản rủi ro cao trong các hợp đồng vay, như chiến lược chọn lọc của Spark; mở rộng mô hình cách ly thị trường trong các hợp đồng vay hàng đầu. Quá trình này đòi hỏi ngành cân nhắc giữa an toàn và hiệu quả, nhưng rõ ràng, việc bỏ qua an ninh để tối ưu hóa sẽ gây thiệt hại lớn hơn nhiều.

Kết luận

Vụ Kelp DAO thiệt hại 293 triệu USD không chỉ là một vụ tấn công lớn, mà còn là một bài thực chiến về rủi ro hệ thống của hệ sinh thái DeFi. Kẻ tấn công qua lỗ hổng cấu hình cầu nối đã kích hoạt chuỗi truyền dẫn từ tài sản LRT, qua các hợp đồng vay lớn, đến toàn bộ hệ sinh thái, cuối cùng làm TVL của Aave trong hai ngày mất 8,45 tỷ USD, toàn chuỗi DeFi mất hơn 13,2 tỷ USD vốn.

Trong cơn bão này, các giao thức thể hiện các phản ứng khác nhau: Aave chịu áp lực lớn do chấp nhận nhiều loại thế chấp; Morpho kiểm soát rủi ro bằng mô hình cách ly; SparkLend nhờ gỡ bỏ sớm các tài sản ít sử dụng như rsETH mà thoát hiểm. Những khác biệt này đều hướng tới một chân lý cốt lõi: trong DeFi, an toàn không chỉ là tập hợp các biện pháp kỹ thuật, mà còn là triết lý kiến trúc.

Tính đến ngày 20/4/2026, Kelp DAO vẫn chưa công bố đối chiếu dự trữ, Aave vẫn đang bàn về phương án xử lý nợ xấu, và giá rsETH vẫn còn trong trạng thái mất peg. Những vấn đề còn bỏ ngỏ này sẽ tiếp tục thử thách khả năng thể chế và quản trị của ngành DeFi. Nhưng rõ ràng, khủng hoảng an ninh năm 2026 này sẽ để lại dấu ấn sâu đậm trong lịch sử phát triển của DeFi — buộc ngành phải xem xét lại “tăng trưởng dựa trên hiệu quả” và tìm ra cân bằng mới giữa an toàn và mở rộng.