#rsETHAttackUpdate

Cuộc khủng hoảng rsETH đã vượt ra ngoài sự hoảng loạn và bước vào giai đoạn thực sự định nghĩa DeFi—phục hồi, trách nhiệm giải trình và cải tổ cấu trúc.
Sáu ngày sau vụ khai thác DeFi lớn nhất năm 2026, cuộc tấn công ngay lập tức đã được kiểm soát, nhưng trận chiến thực sự bây giờ là về việc khôi phục niềm tin, sửa chữa peg, và quyết định ai sẽ gánh chịu thiệt hại. Vụ khai thác ngày 18 tháng 4 đã phơi bày một trong những điểm yếu nguy hiểm nhất trong hạ tầng chuỗi chéo: hệ thống xác minh cầu nối 1-đến-1 cho phép một validator duy nhất có toàn quyền kiểm soát hàng trăm triệu giá trị.
Kẻ tấn công đã lợi dụng cầu nối LayerZero V2 của KelpDAO giữa Unichain và Ethereum bằng cách xâm phạm đường xác minh DVN. Thông qua việc làm nhiễu RPC và thao túng validator, họ đã thành công tạo ra 116.500 token rsETH không được đảm bảo từ không khí. Những tài sản giả này sau đó được gửi vào Aave V3 làm tài sản thế chấp để vay số lượng lớn WETH thật, gây thiệt hại tổng cộng khoảng 292 triệu USDT—vụ hack DeFi lớn nhất trong năm.
Phản ứng khẩn cấp diễn ra nhanh chóng. Aave đã đóng băng các thị trường rsETH và wrsETH trên tất cả các triển khai chính trong vòng 77 phút. Multisig của KelpDAO cũng đã đóng băng các hợp đồng cốt lõi, ngăn chặn một vụ trộm thứ hai trị giá gần 95 triệu USDT. Hành động này đã ngăn chặn thiệt hại, nhưng chưa thể ngăn chặn hoàn toàn.
Tính đến ngày 24 tháng 4, việc phục hồi vẫn chưa hoàn tất. Khoảng 70 triệu USDT liên quan đến vụ khai thác đã được Hội đồng Bảo mật Arbitrum thu hồi, cao hơn nhiều so với ước tính ban đầu. Tuy nhiên, phần lớn số vốn bị đánh cắp đã chuyển qua THORChain, khiến việc phục hồi toàn diện ngày càng khó khăn. Tỷ lệ phục hồi chung vẫn dưới 50%, và các quyết định quản trị về cách phân phối số tiền đã thu hồi vẫn đang chờ xử lý.
Phát triển quan trọng nhất là sự trỗi dậy của liên minh DeFi United—nỗ lực cứu hộ phối hợp do Aave dẫn đầu nhằm khôi phục sự đảm bảo rsETH và loại bỏ nợ xấu trên các nền tảng cho vay. Đây hiện là sáng kiến phục hồi lớn nhất trong ngành mà DeFi từng chứng kiến.
Người sáng lập Aave, Stani Kulechov, đã cam kết cá nhân 5.000 ETH. Quản trị EtherFi đã phê duyệt lên tới 5.000 ETH từ kho dự trữ DAO của họ với sự ủng hộ mạnh mẽ từ 1.800 người nắm giữ token. Lido đã cam kết 2.500 stETH, trong khi Golem Foundation và Golem Factory bổ sung thêm 1.000 ETH nữa. LayerZero, Mantle, Ink Foundation, Tydro và các tổ chức khác đã tham gia thảo luận, trong đó Mantle đề xuất một khoản vay thanh khoản có cấu trúc để củng cố vị thế của Aave.
Hơn 13.500 ETH đã được cam kết, và lộ trình phục hồi toàn diện dự kiến sẽ hoàn thành trong vòng một tuần.
Đối với người dùng, tình hình hoàn toàn phụ thuộc vào loại rủi ro tiếp xúc. rsETH trên mainnet Ethereum được đảm bảo bởi các khoản gửi EigenLayer thật vẫn về cơ bản an toàn vì các vị trí staking nền tảng chưa từng bị xâm phạm. Người dùng Aave không phải rsETH cũng không bị ảnh hưởng. Nhưng những người nắm giữ rsETH đã được wrapped trên các mạng Layer 2 phải đối mặt với sự không chắc chắn vì dự trữ cầu nối bị phá vỡ, và phân phối thiệt hại cuối cùng vẫn chưa được xác định.
Bài học lớn nhất từ vụ khai thác này là: an ninh cầu nối 1-đến-1 đã chết.
Ngành công nghiệp hiện đang tiến tới xác minh đa DVN bắt buộc 2-đến-3, giám sát dự trữ cầu nối theo thời gian thực, và giới hạn tập trung TVL nghiêm ngặt. Cuộc tấn công này đã thay đổi vĩnh viễn cách DeFi bảo vệ tài sản chuỗi chéo.
Vụ tấn công có thể đã kết thúc, nhưng thử thách thực sự bắt đầu từ bây giờ. Nếu DeFi United thành công, nó chứng minh rằng tài chính phi tập trung có thể tồn tại qua các sự kiện đen tối bằng cách phối hợp thay vì sụp đổ. Nếu thất bại, áp lực về quy định, bảo hiểm bắt buộc và giám sát chặt chẽ hơn các giao thức sẽ trở nên không thể chống cự.
Điều này không còn chỉ về rsETH nữa.
Đây là về việc liệu DeFi có thể tự bảo vệ mình khi mọi thứ đi sai hướng hay không.
‍#GateSquare #CreatorCarnival #ContentMining #Gate13周年