#rsETH攻击事件后续进展 Kelp DAO của vụ trộm cầu nối rsETH xuyên chuỗi đã trở thành sự kiện an ninh DeFi lớn nhất từ ​​đầu năm 2026, gây thiệt hại khoảng $ETH 2.92 tỷ USD tài sản.

Cuộc tấn công xảy ra vào khoảng 17:35 UTC ngày 18 tháng 4 năm 2026, hacker lợi dụng lỗ hổng cấu hình cầu nối xuyên chuỗi dựa trên LayerZero của Kelp DAO (sử dụng thiết lập nút xác thực phi tập trung 1/1), thông qua việc giả mạo tin nhắn xuyên chuỗi, đã tạo ra khoảng 116,500 rsETH không có tài sản thực làm nền tảng trên chuỗi chính Ethereum.

Những “tài sản ảo” này nhanh chóng được gửi vào các giao thức cho vay chính như Aave, Compound, Euler để làm tài sản thế chấp, vay khoảng 236 triệu USD WETH/ETH thật, trong đó Aave đối mặt với rủi ro nợ xấu tiềm năng lên tới 177 triệu đến 196 triệu USD.

Sau khoảng 46 phút xảy ra vụ việc, Kelp DAO đã khẩn cấp tạm dừng hợp đồng rsETH trên mainnet và nhiều mạng Layer2 để ngăn chặn các nỗ lực tấn công tiếp theo. Tuy nhiên, sự hoảng loạn đã lan rộng nhanh chóng, TVL của Aave trong 24 giờ đã giảm từ 26,4 tỷ USD xuống còn 18 tỷ USD, giảm 32%, giá token AAVE cũng giảm khoảng 18%.

Sự kiện này đã phơi bày rủi ro hệ thống trong hệ sinh thái DeFi liên quan đến “cầu nối xuyên chuỗi + các sản phẩm thế chấp lại”: một lỗ hổng an ninh ở một phần có thể truyền dẫn qua khả năng hợp thành đến nhiều giao thức, tạo thành chuỗi tác động. Mặc dù LayerZero đề xuất sử dụng cấu hình DVN ít nhất 2 trong 3, Kelp DAO vẫn chọn chế độ xác thực đơn điểm 1/1 có rủi ro cực cao, bị chỉ trích là “dùng một chiếc khóa khóa để bảo vệ ngân hàng”.

Hiện tại, Kelp DAO và LayerZero đang tranh cãi về trách nhiệm, trong khi hacker vẫn giữ khoảng 175 triệu USD ETH trên chuỗi Ethereum. $BTC #Gate广场四月发帖挑战 ‌