#rsETH攻击事件后续进展 Kelp DAO của vụ trộm cầu chéo rsETH là sự kiện an toàn DeFi lớn nhất từ ​​năm 2026 đến nay, gây thiệt hại khoảng 292 triệu USD tài sản.

Cuộc tấn công xảy ra vào khoảng 17:35 UTC ngày 18 tháng 4 năm 2026, hacker lợi dụng lỗ hổng cấu hình cầu chéo dựa trên LayerZero của Kelp DAO (sử dụng thiết lập nút xác thực phi tập trung 1/1), thông qua việc giả mạo tin nhắn chéo, đã tạo ra khoảng 116,500 mã rsETH không có tài sản thực làm nền tảng trên chuỗi chính Ethereum.

Những “tài sản ảo” này nhanh chóng được gửi vào các giao thức cho vay chính như Aave, Compound, Euler để làm tài sản thế chấp, vay khoảng 236 triệu USD WETH/ETH thực sự, trong đó Aave đối mặt với rủi ro nợ xấu tiềm năng lên tới 177 triệu đến 196 triệu USD.

Kelp DAO đã khẩn cấp tạm dừng hợp đồng rsETH trên mainnet và nhiều mạng Layer2 sau khoảng 46 phút xảy ra sự cố, ngăn chặn các nỗ lực tấn công tiếp theo. Tuy nhiên, tâm lý thị trường đã nhanh chóng lan rộng, TVL của Aave trong 24 giờ giảm từ 26,4 tỷ USD xuống còn 18 tỷ USD, giảm 32%, giá token AAVE cũng giảm khoảng 18%.

Sự kiện này đã phơi bày rủi ro hệ thống trong hệ sinh thái DeFi liên quan đến “cầu chéo + sản phẩm phái sinh tái thế chấp”: một lỗ hổng an toàn ở một phần có thể truyền dẫn qua khả năng hợp thành đến nhiều giao thức, tạo thành chuỗi tác động. Mặc dù LayerZero đề xuất sử dụng cấu hình DVN ít nhất 2-of-3, Kelp DAO vẫn chọn chế độ xác thực đơn điểm 1-of-1 có rủi ro cực cao, bị chỉ trích là “dùng một chiếc khóa khóa để bảo vệ ngân hàng”.

Hiện tại, Kelp DAO và LayerZero đang tranh cãi về trách nhiệm, trong khi hacker vẫn giữ khoảng 175 triệu USD ETH trên chuỗi Ethereum. $BTC