Phân tích sâu về các sự cố an toàn DeFi năm 2026: Từ Kelp DAO đến tác động chuỗi của Aave

Năm 2026, tháng 4, ngành công nghiệp tiền mã hóa đối mặt với thử thách an ninh nghiêm trọng nhất trong những năm gần đây. Kelp DAO bị tấn công với thiệt hại 2,93 tỷ USD do lỗ hổng ở lớp nền của cầu nối chuỗi chéo, trở thành sự kiện an ninh lớn nhất trong tháng này. Tính đến ngày 22 tháng 4, tổng số tiền bị mất trong tháng đã vượt quá 500 triệu USD. Con số này không chỉ phá vỡ kỷ lục thiệt hại hàng tháng mà còn phơi bày rủi ro hệ thống trong thiết kế tương tác chuỗi chéo của các giao thức DeFi. Khác với các lỗ hổng cô lập trong quá khứ, đường truyền của cuộc tấn công lần này thể hiện đặc điểm liên kết cao, sau khi một giao thức bị tấn công, rủi ro nhanh chóng lan rộng đến nhiều thị trường cho vay và bể thanh khoản chính thống.

Tại sao lỗ hổng của một nhà xác thực lại trở thành điểm yếu chết người của cầu nối chuỗi chéo

Nguyên nhân cốt lõi của cuộc tấn công nằm ở cơ chế xác thực của cầu nối chuỗi chéo. Cầu nối chuỗi chéo mà Kelp DAO dựa vào sử dụng kiến trúc xác thực đơn, nghĩa là chỉ cần một nút ký xác nhận để xác nhận tin nhắn chuỗi chéo. Kẻ tấn công bằng cách lấy được khóa riêng của nhà xác thực này, giả mạo yêu cầu rút tiền chuỗi chéo, chuyển lượng tài sản bị khóa của giao thức đến địa chỉ ngoài. Dựa trên phân tích dữ liệu trên chuỗi, kẻ tấn công đã thành công vượt qua kiểm tra đa chữ ký và giới hạn thời gian trong một giao dịch duy nhất. Lỗ hổng này không phải là phương pháp tấn công mới; từ vụ việc cầu Ronin năm 2022, rủi ro của nhà xác thực đơn đã thu hút sự chú ý của ngành. Tuy nhiên, sự kiện của Kelp DAO cho thấy một số giao thức vẫn chưa coi việc phân cấp nhà xác thực là tiêu chuẩn an toàn cốt lõi.

Sau khi tài sản của Kelp DAO bị đánh cắp, tác động đến các thị trường cho vay như Aave ra sao

Trong kho dự trữ của Kelp DAO có nhiều token stETH và wstETH, được dùng làm tài sản thế chấp trong các giao thức cho vay như Aave. Sau vụ tấn công, số tiền bị đánh cắp nhanh chóng được đổi thành ETH, khiến tỷ lệ đổi giữa stETH và ETH bị lệch khỏi mốc cố định. Người nắm giữ các vị thế thế chấp liên quan đối mặt với nguy cơ thanh lý, tỷ lệ utilization của bể thanh khoản stETH trên Aave trong vài giờ đã tăng lên trên 85%. Mặc dù cơ chế thanh lý của Aave cuối cùng đã xử lý một phần nợ xấu, nhưng tâm lý hoảng loạn đã khiến nhiều cá nhân lớn chủ động đóng vị thế, làm giảm thanh khoản thêm. Theo dữ liệu thị trường của Gate, tính đến ngày 22 tháng 4 năm 2026, giá stETH là 3.012,50 USD, chênh lệch so với giá ETH giao ngay đã mở rộng khoảng 0,7 điểm phần trăm so với trước sự kiện.

Liệu có tồn tại mô hình tấn công phối hợp đằng sau vụ trộm hơn 500 triệu USD trong tháng 4 không

Khi đặt sự kiện của Kelp DAO vào bức tranh các sự kiện an ninh tháng 4, có thể quan sát thấy một chuỗi các cuộc tấn công có đặc điểm tương tự. Ngoài Kelp DAO, còn có ba giao thức DeFi trung bình khác bị tấn công trong tháng này, với tổng thiệt hại lần lượt khoảng 85 triệu USD, 62 triệu USD và 41 triệu USD. Điểm chung của các cuộc tấn công này là: đều liên quan đến cầu nối chuỗi chéo hoặc giao thức truyền tin chuỗi chéo; kẻ tấn công đều lợi dụng lỗ hổng quyền hạn của nhà xác thực; số tiền bị đánh cắp cuối cùng chảy vào các địa chỉ dịch vụ trộn tiền (mixing). Các tổ chức theo dõi trên chuỗi chỉ ra rằng, các đường đi của rửa tiền trong nhiều vụ việc đều rất giống nhau, gợi ý khả năng có sự phối hợp của cùng một nhóm tấn công. Chiến lược tấn công tập trung này đặt ra thách thức chưa từng có cho ngành.

Tại sao đường rửa tiền của hacker Triều Tiên lại khó bị chặn triệt để

Báo cáo do Cục Điều tra Liên bang Mỹ (FBI) và công ty phân tích chuỗi khối phối hợp công bố cho thấy, trong số các vụ tấn công DeFi tháng 4, khoảng 70% số tiền bị đánh cắp cuối cùng chảy vào các địa chỉ liên quan đến nhóm Lazarus. Nhóm này được coi là nhóm tội phạm mạng do chính phủ Triều Tiên hậu thuẫn. Trong vụ Kelp DAO, sau khi lấy được 2,93 tỷ USD, kẻ tấn công đã chia nhỏ số tiền này thành hơn 50 địa chỉ mới, sau đó chuyển qua cầu nối chuỗi chéo sang mạng Bitcoin, rồi qua dịch vụ trộn để thực hiện nhiều lớp rối loạn. Đường đi này tận dụng sự khác biệt trong khả năng quản lý và theo dõi giữa các blockchain khác nhau, khiến cơ chế phong tỏa truyền thống không thể phát hiện. Mặc dù nhiều sàn giao dịch đã thiết lập cơ chế chia sẻ danh sách đen, nhưng khi kẻ tấn công chuyển sang các bộ tổng hợp chuỗi chéo phi tập trung, khả năng chặn thành công giảm rõ rệt.

Liệu việc kiểm tra an ninh cầu nối chuỗi chéo có cần thiết phải áp dụng cơ chế cách ly bắt buộc không

Tiêu chuẩn kiểm tra an ninh hiện tại của ngành chủ yếu dựa trên xác minh tính đúng đắn của mã, ít đề cập đến thiết kế cách ly rủi ro ở cấp độ mô hình kinh tế. Vụ Kelp DAO đã phơi bày vấn đề: ngay cả khi hợp đồng thông minh của cầu nối không có lỗ hổng, thì lỗi điểm đơn của quyền hạn nhà xác thực vẫn có thể gây thiệt hại toàn bộ tài sản bị khóa. Một số nhóm an ninh đề xuất nên áp dụng cơ chế cách ly bắt buộc, tức là yêu cầu cầu nối chuỗi chéo đặt giới hạn rủi ro riêng cho từng giao dịch, và sử dụng phương pháp ký đa xác thực (multi-signature threshold). Một ý tưởng khác là phân tán các tài sản khóa của cầu nối vào nhiều bể bảo hiểm độc lập, để nếu một bể bị tấn công, toàn bộ hệ thống không bị ảnh hưởng. Các phương án này dù sẽ làm tăng chi phí Gas, nhưng về mặt kiểm soát rủi ro hệ thống, là cần thiết.

Các giao thức DeFi có thể thực hiện chuỗi chéo mà không phụ thuộc vào cầu nối bên thứ ba như thế nào

Ảnh hưởng lâu dài của vụ Kelp DAO là thúc đẩy ngành xem xét lại giả thuyết về niềm tin vào các cầu nối chuỗi chéo của bên thứ ba. Ngày càng nhiều giao thức bắt đầu khám phá các giải pháp chuỗi chéo nguyên bản, ví dụ như sử dụng mạng xác thực phi tập trung LayerZero hoặc triển khai trực tiếp trên môi trường thực thi đa chuỗi. Một hướng khác là từ bỏ việc đóng gói tài sản chuỗi chéo, chuyển sang các cơ chế trao đổi nguyên tử (atomic swap) hoặc các cơ chế đổi tiền trực tiếp do các oracle phi tập trung điều khiển. Các giải pháp này dù hy sinh một phần tính thanh khoản và trải nghiệm người dùng, nhưng loại bỏ rủi ro điểm yếu của cầu nối chuỗi chéo như một điểm đơn. Theo xu hướng phát triển, năm 2026 có thể trở thành bước ngoặt chuyển đổi của DeFi từ “dựa vào cầu nối” sang “đa chuỗi nguyên bản”.

Điểm giới hạn của đầu tư an ninh ngành khi từ 2,93 tỷ đến 5 tỷ USD

Số tiền bị trộm trong tháng 4 vượt quá 500 triệu USD đã vượt quá tổng ngân sách an ninh của các giao thức DeFi trong cùng kỳ. Điều này có nghĩa là, ngay cả khi tất cả các giao thức đều mua dịch vụ kiểm tra an ninh, khoản đầu tư vẫn chưa đủ để bù đắp thiệt hại tiềm năng. Từ góc độ kinh tế, khi lợi ích kỳ vọng từ tấn công cao hơn chi phí phòng thủ, hành vi tấn công sẽ không thể bị kiểm soát bằng cơ chế thị trường. Ngành cần xây dựng không chỉ các phương pháp kiểm tra mã tốt hơn, mà còn các hệ thống cảnh báo giám sát trên chuỗi, quỹ ứng phó khẩn cấp và thị trường bảo hiểm phi tập trung. Sau vụ Kelp DAO, nhiều giao thức hàng đầu đã công bố tăng tỷ lệ chi tiêu an ninh từ 5% lên trên 15% trong ngân sách hàng năm. Liệu điều chỉnh này có thể giảm thiểu thiệt hại trong tương lai hay không còn phụ thuộc vào việc ngành có sẵn sàng đầu tư hệ thống ở các cấp phi chức năng hay không.

Tóm tắt

Vụ lỗ hổng 2,93 tỷ USD của Kelp DAO và số liệu trộm hơn 500 triệu USD trong tháng 4 cùng nhau tạo thành các điểm mốc tiêu biểu của khủng hoảng an ninh DeFi năm 2026. Bản chất kỹ thuật của cuộc tấn công là điểm yếu của xác thực đơn trong cầu nối chuỗi chéo, còn phản ứng dây chuyền của nó được truyền dẫn qua các thị trường cho vay như Aave đến toàn bộ hệ thống thanh khoản. Đường rửa tiền của hacker liên quan đến Triều Tiên càng làm lộ rõ khó khăn trong theo dõi chuỗi chéo. Ngành cần đồng bộ nâng cấp tiêu chuẩn kiểm tra, kiến trúc cầu nối, hệ thống giám sát cảnh báo và ngân sách an ninh để kiểm soát sự gia tăng về tần suất và quy mô tấn công.

FAQ

Hỏi: Lỗ hổng của Kelp DAO có gây thiệt hại vĩnh viễn cho tài sản người dùng không?

Đáp: Nhóm Kelp DAO cho biết đã liên hệ các tổ chức an ninh để theo dõi dòng tiền, và dự kiến sẽ bồi thường cho các người dùng bị ảnh hưởng. Tính đến ngày 22 tháng 4, phần lớn số tiền bị đánh cắp vẫn chưa được thu hồi, thiệt hại do quỹ của giao thức và quỹ bảo hiểm cùng gánh chịu.

Hỏi: Aave có gặp phải khoản nợ xấu thực chất trong vụ này không?

Đáp: Cơ chế thanh lý của Aave đã xử lý thành công phần lớn các vị thế rủi ro, không xảy ra tình trạng mất khả năng thanh toán của giao thức. Tuy nhiên, do sự lệch khỏi mốc của stETH gây ra biến động ngắn hạn, một số người thanh lý đã nhận phần thưởng thanh lý cao hơn bình thường, khiến hoạt động của giao thức vẫn duy trì ổn định.

Hỏi: Người dùng bình thường có thể tránh rủi ro liên quan đến cầu nối chuỗi chéo như thế nào?

Đáp: Khuyên người dùng hạn chế giữ tài sản giá trị cao trong các cầu nối chuỗi chéo đơn lẻ, ưu tiên sử dụng các cầu nối đã qua kiểm tra nhiều vòng và có đủ số lượng xác thực. Ngoài ra, có thể chọn các giao thức đa chuỗi nguyên bản hoặc các sàn tập trung để chuyển đổi tài sản chuỗi chéo, giảm thiểu rủi ro từ hợp đồng thông minh và nhà xác thực.

Hỏi: Tại sao hacker Triều Tiên lại thường xuyên tấn công các giao thức DeFi?

Đáp: Dữ liệu theo dõi trên chuỗi cho thấy, nhóm Lazarus từ năm 2022 đã trộm hơn 2 tỷ USD tài sản mã hóa. Các khoản tiền này được cho là dùng để hỗ trợ phát triển vũ khí của Triều Tiên và tránh các lệnh trừng phạt quốc tế. Tính ẩn danh và khả năng kết hợp chuỗi chéo của các giao thức DeFi tạo điều kiện lý tưởng cho hoạt động rửa tiền của nhóm này.