# rsETHAttackUpdate

#rsETHAttackUpdate : Phân tích kỹ thuật về cuộc tấn công lớn nhất của DeFi qua chuỗi chéo
Vào ngày 18 tháng 4 năm 2026, giao thức rsETH của KelpDAO đã bị khai thác $292 triệu đô la( thông qua cầu LayerZero, đánh dấu một trong những thất bại về an ninh lớn nhất của DeFi. Báo cáo này xem xét các phương thức tấn công, tác động dây chuyền và các lỗ hổng cấu trúc bị lộ.
Tổng quan về cuộc tấn công
Kẻ tấn công đã tạo ra 116.500 token rsETH không được đảm bảo )chiếm 18% tổng cung( bằng cách xâm nhập hạ tầng chuỗi chéo của KelpDAO. Cuộc khai thác nhắm vào một điểm yếu kiến trúc quan trọng: cầu của KelpDAO hoạt động với cấu hình mạng xác thực phân tán 1-1 )Mạng xác thực phi tập trung(, khiến LayerZero Labs trở thành thực thể xác minh duy nhất cho các tin nhắn chuỗi chéo.
Thực thi kỹ thuật
Cuộc tấn công theo một phương pháp phức tạp nhiều giai đoạn:
1. Xâm nhập hạ tầng: Kẻ tấn công truy cập vào các nút RPC của mạng DVN của LayerZero, thay thế các tệp nhị phân op-geth hợp pháp bằng các phiên bản độc hại phục vụ dữ liệu giả mạo chỉ dành cho các địa chỉ IP của DVN.
2. Thao túng lưu lượng: Thông qua các cuộc tấn công DDoS vào các nút sạch, kẻ tấn công buộc hệ thống chuyển sang hạ tầng bị xâm phạm, đảm bảo toàn bộ lưu lượng xác minh đi qua các điểm cuối bị nhiễm độc.
3. Giả mạo tin nhắn: Một tin nhắn chuỗi chéo giả mạo tuyên bố xuất phát từ triển khai Unichain của KelpDAO đã được xác thực dựa trên trạng thái on-chain bị thao túng, vượt qua ngưỡng đa chữ ký 2-3.
4. Rút token: Cầu đã phát hành 116.500 rsETH tới các địa chỉ do kẻ tấn công kiểm soát trong một giao dịch duy nhất, tạo ra các token không được đảm bảo không có tài sản thế chấp nền tảng.
Phân tích nguyên nhân chỉ ra nhóm Lazarus của Bắc Triều Tiên )TraderTraitor$7 , nổi tiếng với các cuộc khai thác tiền điện tử tinh vi nhắm vào hạ tầng tài chính.
Tác động dây chuyền tài chính
Kẻ tấn công ngay lập tức sử dụng rsETH không được đảm bảo làm tài sản thế chấp trên các thị trường Aave V3 và V4:
- Vay 52.834 WETH trên mạng chính Ethereum
- Vay 29.782 WETH cộng 821 wstETH trên Arbitrum
- Tổng số rút ra: khoảng 83.427 WETH và wstETH, tạo ra nợ xấu lớn trong các thị trường cho vay của Aave. Giao thức phản ứng trong vòng vài giờ bằng cách đóng băng các thị trường rsETH và loại bỏ khả năng vay mượn, nhưng thiệt hại đã lan rộng trong DeFi:
- Rút hơn ( tỷ đô la từ các giao thức hàng đầu
- Aave mất 6,2 tỷ đô la )23% tổng giá trị bị khóa(
- Các dòng chảy ra tương tự ảnh hưởng đến Morpho, Sky, và Jupiter Lend
- Các rút tiền hoảng loạn ảnh hưởng ngay cả các giao thức không bị ảnh hưởng trên Solana. Phản ứng khẩn cấp
Nhiều giao thức và mạng lưới đã thực hiện các biện pháp kiểm soát thiệt hại:
- KelpDAO tạm dừng các hợp đồng rsETH trên mainnet và các mạng Layer 2
- Arbitrum đóng băng 30.000 ETH $71 )triệu$344 liên quan đến các địa chỉ khai thác
- Tether đóng băng 1 triệu USDT trên hai ví Tron
- Cộng đồng Aave bắt đầu thảo luận về việc loại bỏ vĩnh viễn rsETH. Lộ rõ các lỗ hổng cấu trúc
Cuộc khai thác này phơi bày những điểm yếu căn bản trong kiến trúc chuỗi chéo của DeFi:
Xác thực tập trung: Dù quảng bá về phi tập trung, các cầu thường dựa vào xác thực tập trung. Cấu hình 1-1 của DVN tạo ra điểm thất bại đơn lẻ thảm khốc.
Sai lệch giới hạn tin cậy: Cuộc tấn công xảy ra tại điểm xác thực tin nhắn của LayerZero và điểm chấp nhận cầu của KelpDAO, cho thấy cách an ninh mô-đun mà không có tiêu chuẩn vững chắc tạo ra rủi ro hệ thống.
Tăng cường khả năng ghép nối: Kẻ tấn công đã lợi dụng token không đảm bảo trong nhiều giao thức, cho thấy tính liên kết của DeFi làm tăng nguy cơ từ các thất bại cá nhân.
Khoảng cách trong quản trị: DeFi hoạt động trong đó lý thuyết phi tập trung che giấu sự tập trung kiểm soát thực tế, làm phức tạp trách nhiệm và phản ứng khẩn cấp.
Ảnh hưởng ngành công nghiệp
Sự cố này mang lại hậu quả nghiêm trọng cho sự phát triển của DeFi:
Tiêu chuẩn an ninh: Các cầu chuỗi chéo cần cơ chế xác thực phân tán và loại bỏ điểm thất bại đơn lẻ. Ngành cần thiết lập các tiêu chuẩn an ninh tối thiểu cho kiến trúc cầu.
Đánh giá rủi ro: Các giao thức cho vay cần xác thực tài sản thế chấp theo thời gian thực và đánh giá chặt chẽ hơn về tài sản đảm bảo trước khi chấp nhận gửi tiền.
Các biện pháp khẩn cấp: Khả năng đóng băng thị trường nhanh chóng là cần thiết, nhưng các biện pháp phản ứng không thể thay thế cho kiến trúc an ninh phòng ngừa.
Giám sát pháp lý: Các cuộc khai thác quy mô này thúc đẩy sự chú ý của cơ quan quản lý và áp lực tuân thủ đối với các giao thức DeFi.
Thách thức kế toán: Các kiểm toán viên gặp khó khăn căn bản trong đánh giá hiệu quả kiểm soát khi xác thực dựa vào hạ tầng off-chain có thể bị xâm phạm.
Bài học chính
Dành cho nhà phát triển và người tham gia:
1. Kiến trúc an ninh cầu yêu cầu xác thực đa chữ ký phân tán, không phải xác thực của một thực thể duy nhất.
2. Tài sản thế chấp phải có thể xác minh theo thời gian thực, đặc biệt đối với tài sản chuỗi chéo.
3. Tính ghép nối của giao thức tạo ra rủi ro hệ thống đòi hỏi đánh giá an ninh toàn diện.
4. Khả năng phản ứng khẩn cấp phải cân bằng với các biện pháp phòng ngừa.
5. Thẩm định hạ tầng nền tảng là điều cần thiết trước khi gửi tiền.
Kết luận
Cuộc khai thác rsETH cho thấy rằng trong DeFi, thiết kế cầu quyết định không thể tách rời an toàn tài sản. Phân phối qua các chuỗi không tự động phân phối rủi ro. Sự cố này phơi bày mâu thuẫn giữa khả năng mở rộng nhanh và kiến trúc an ninh vững chắc định hình sự phát triển của DeFi hiện tại.
Cuộc tấn công tiết lộ một chân lý căn bản: quản trị phi tập trung về lý thuyết thường che giấu sự kiểm soát tập trung trong thực tế. Để DeFi đạt được hạ tầng tài chính bền vững, ngành cần giải quyết các lỗ hổng kiến trúc này thông qua các tiêu chuẩn mạnh hơn, cơ chế xác thực phân tán và các giao thức ưu tiên an ninh hơn tốc độ triển khai.
Các tác động dây chuyền trên Aave và các giao thức khác cho thấy cách các thất bại của cầu đơn lẻ nhanh chóng trở thành khủng hoảng hệ thống. Khi DeFi trưởng thành, an ninh chuỗi chéo phải tiến hóa từ một ý tưởng phụ sang nguyên tắc thiết kế nền tảng.
Phần đầu tiên, việc quy trách nhiệm cho các tác nhân nhà nước còn làm tăng yếu tố địa chính trị trong các thách thức an ninh của DeFi. Sự tinh vi thể hiện cho thấy các cuộc tấn công trong tương lai có thể phức tạp và ảnh hưởng lớn hơn, khiến việc đầu tư an ninh chủ động trở nên thiết yếu để tồn tại của các giao thức.
Sự cố này dự kiến sẽ thúc đẩy phát triển các giải pháp chuỗi chéo bền vững hơn, đồng thời yêu cầu đánh giá lại toàn diện các rủi ro liên quan đến cầu trong hệ sinh thái DeFi. Câu hỏi không còn là liệu cầu có thể được bảo vệ, mà là liệu ngành có thể thiết lập các tiêu chuẩn an ninh phù hợp trước khi xảy ra cuộc khai thác tiếp theo hay không.

#rsETHAttackUpdate : Phân tích kỹ thuật về cuộc tấn công lớn nhất của DeFi qua chuỗi chéo
Vào ngày 18 tháng 4 năm 2026, giao thức rsETH của KelpDAO đã bị khai thác $292 triệu đô la( thông qua cầu LayerZero, đánh dấu một trong những thất bại về an ninh lớn nhất của DeFi. Báo cáo này xem xét các phương thức tấn công, tác động dây chuyền và các lỗ hổng cấu trúc bị lộ.
Tổng quan về cuộc tấn công
Kẻ tấn công đã tạo ra 116.500 token rsETH không được đảm bảo )chiếm 18% tổng cung( bằng cách xâm nhập hạ tầng chuỗi chéo của KelpDAO. Cuộc khai thác nhắm vào một điểm yếu kiến trúc quan trọng: cầu của KelpDAO hoạt động với cấu hình mạng xác thực phân tán 1-1 )Mạng xác thực phi tập trung(, khiến LayerZero Labs trở thành thực thể xác minh duy nhất cho các tin nhắn chuỗi chéo.
Thực thi kỹ thuật
Cuộc tấn công theo một phương pháp phức tạp nhiều giai đoạn:
1. Xâm nhập hạ tầng: Kẻ tấn công truy cập vào các nút RPC của mạng DVN của LayerZero, thay thế các tệp nhị phân op-geth hợp pháp bằng các phiên bản độc hại phục vụ dữ liệu giả mạo chỉ dành cho các địa chỉ IP của DVN.
2. Thao túng lưu lượng: Thông qua các cuộc tấn công DDoS vào các nút sạch, kẻ tấn công buộc hệ thống chuyển sang hạ tầng bị xâm phạm, đảm bảo toàn bộ lưu lượng xác minh đi qua các điểm cuối bị nhiễm độc.
3. Giả mạo tin nhắn: Một tin nhắn chuỗi chéo giả mạo tuyên bố xuất phát từ triển khai Unichain của KelpDAO đã được xác thực dựa trên trạng thái on-chain bị thao túng, vượt qua ngưỡng đa chữ ký 2-3.
4. Rút token: Cầu đã phát hành 116.500 rsETH tới các địa chỉ do kẻ tấn công kiểm soát trong một giao dịch duy nhất, tạo ra các token không được đảm bảo không có tài sản thế chấp nền tảng.
Phân tích nguyên nhân chỉ ra nhóm Lazarus của Bắc Triều Tiên )TraderTraitor$7 , nổi tiếng với các cuộc khai thác tiền điện tử tinh vi nhắm vào hạ tầng tài chính.
Tác động dây chuyền tài chính
Kẻ tấn công ngay lập tức sử dụng rsETH không được đảm bảo làm tài sản thế chấp trên các thị trường Aave V3 và V4:
- Vay 52.834 WETH trên mạng chính Ethereum
- Vay 29.782 WETH cộng 821 wstETH trên Arbitrum
- Tổng số rút ra: khoảng 83.427 WETH và wstETH, tạo ra nợ xấu lớn trong các thị trường cho vay của Aave. Giao thức phản ứng trong vòng vài giờ bằng cách đóng băng các thị trường rsETH và loại bỏ khả năng vay mượn, nhưng thiệt hại đã lan rộng trong DeFi:
- Rút hơn ( tỷ đô la từ các giao thức hàng đầu
- Aave mất 6,2 tỷ đô la )23% tổng giá trị bị khóa(
- Các dòng chảy ra tương tự ảnh hưởng đến Morpho, Sky, và Jupiter Lend
- Các rút tiền hoảng loạn ảnh hưởng ngay cả các giao thức không bị ảnh hưởng trên Solana. Phản ứng khẩn cấp
Nhiều giao thức và mạng lưới đã thực hiện các biện pháp kiểm soát thiệt hại:
- KelpDAO tạm dừng các hợp đồng rsETH trên mainnet và các mạng Layer 2
- Arbitrum đóng băng 30.000 ETH $71 )triệu$344 liên quan đến các địa chỉ khai thác
- Tether đóng băng 1 triệu USDT trên hai ví Tron
- Cộng đồng Aave bắt đầu thảo luận về việc loại bỏ vĩnh viễn rsETH. Lộ rõ các lỗ hổng cấu trúc
Cuộc khai thác này phơi bày những điểm yếu căn bản trong kiến trúc chuỗi chéo của DeFi:
Xác thực tập trung: Dù quảng bá về phi tập trung, các cầu thường dựa vào xác thực tập trung. Cấu hình 1-1 của DVN tạo ra điểm thất bại đơn lẻ thảm khốc.
Sai lệch giới hạn tin cậy: Cuộc tấn công xảy ra tại điểm xác thực tin nhắn của LayerZero và điểm chấp nhận cầu của KelpDAO, cho thấy cách an ninh mô-đun mà không có tiêu chuẩn vững chắc tạo ra rủi ro hệ thống.
Tăng cường khả năng ghép nối: Kẻ tấn công đã lợi dụng token không đảm bảo trong nhiều giao thức, cho thấy tính liên kết của DeFi làm tăng nguy cơ từ các thất bại cá nhân.
Khoảng cách trong quản trị: DeFi hoạt động trong đó lý thuyết phi tập trung che giấu sự tập trung kiểm soát thực tế, làm phức tạp trách nhiệm và phản ứng khẩn cấp.
Ảnh hưởng ngành công nghiệp
Sự cố này mang lại hậu quả nghiêm trọng cho sự phát triển của DeFi:
Tiêu chuẩn an ninh: Các cầu chuỗi chéo cần cơ chế xác thực phân tán và loại bỏ điểm thất bại đơn lẻ. Ngành cần thiết lập các tiêu chuẩn an ninh tối thiểu cho kiến trúc cầu.
Đánh giá rủi ro: Các giao thức cho vay cần xác thực tài sản thế chấp theo thời gian thực và đánh giá chặt chẽ hơn về tài sản đảm bảo trước khi chấp nhận gửi tiền.
Các biện pháp khẩn cấp: Khả năng đóng băng thị trường nhanh chóng là cần thiết, nhưng các biện pháp phản ứng không thể thay thế cho kiến trúc an ninh phòng ngừa.
Giám sát pháp lý: Các cuộc khai thác quy mô này thúc đẩy sự chú ý của cơ quan quản lý và áp lực tuân thủ đối với các giao thức DeFi.
Thách thức kế toán: Các kiểm toán viên gặp khó khăn căn bản trong đánh giá hiệu quả kiểm soát khi xác thực dựa vào hạ tầng off-chain có thể bị xâm phạm.
Bài học chính
Dành cho nhà phát triển và người tham gia:
1. Kiến trúc an ninh cầu yêu cầu xác thực đa chữ ký phân tán, không phải xác thực của một thực thể duy nhất.
2. Tài sản thế chấp phải có thể xác minh theo thời gian thực, đặc biệt đối với tài sản chuỗi chéo.
3. Tính ghép nối của giao thức tạo ra rủi ro hệ thống đòi hỏi đánh giá an ninh toàn diện.
4. Khả năng phản ứng khẩn cấp phải cân bằng với các biện pháp phòng ngừa.
5. Thẩm định hạ tầng nền tảng là điều cần thiết trước khi gửi tiền.
Kết luận
Cuộc khai thác rsETH cho thấy rằng trong DeFi, thiết kế cầu quyết định không thể tách rời an toàn tài sản. Phân phối qua các chuỗi không tự động phân phối rủi ro. Sự cố này phơi bày mâu thuẫn giữa khả năng mở rộng nhanh và kiến trúc an ninh vững chắc định hình sự phát triển của DeFi hiện tại.
Cuộc tấn công tiết lộ một chân lý căn bản: quản trị phi tập trung về lý thuyết thường che giấu sự kiểm soát tập trung trong thực tế. Để DeFi đạt được hạ tầng tài chính bền vững, ngành cần giải quyết các lỗ hổng kiến trúc này thông qua các tiêu chuẩn mạnh hơn, cơ chế xác thực phân tán và các giao thức ưu tiên an ninh hơn tốc độ triển khai.
Các tác động dây chuyền trên Aave và các giao thức khác cho thấy cách các thất bại của cầu đơn lẻ nhanh chóng trở thành khủng hoảng hệ thống. Khi DeFi trưởng thành, an ninh chuỗi chéo phải tiến hóa từ một ý tưởng phụ sang nguyên tắc thiết kế nền tảng.
Phần đầu tiên, việc quy trách nhiệm cho các tác nhân nhà nước còn làm tăng yếu tố địa chính trị trong các thách thức an ninh của DeFi. Sự tinh vi thể hiện cho thấy các cuộc tấn công trong tương lai có thể phức tạp và ảnh hưởng lớn hơn, khiến việc đầu tư an ninh chủ động trở nên thiết yếu để tồn tại của các giao thức.
Sự cố này dự kiến sẽ thúc đẩy phát triển các giải pháp chuỗi chéo bền vững hơn, đồng thời yêu cầu đánh giá lại toàn diện các rủi ro liên quan đến cầu trong hệ sinh thái DeFi. Câu hỏi không còn là liệu cầu có thể được bảo vệ, mà là liệu ngành có thể thiết lập các tiêu chuẩn an ninh phù hợp trước khi xảy ra cuộc khai thác tiếp theo hay không.

#加密市场行情震荡rsETH CẬP NHẬT VỀ TẤN CÔNG CÁCH MẠNG MỘT TIN NHẮN GIẢ MẠO ĐÃ PHÁ VỠ $10 TỶ USD TRONG DEFI
TẤN CÔNG ĐÃ THAY ĐỔI DEFI MÃI MÃI
Vào chính xác 17:35 UTC ngày 18 tháng 4 năm 2026, một tin nhắn xuyên chuỗi giả mạo đơn lẻ đã kích hoạt vụ khai thác DeFi lớn nhất trong năm. Cầu rsETH của KelpDAO được hỗ trợ bởi LayerZero đã bị rút sạch 116.500 rsETH khoảng $292 triệu đô la trong vòng vài phút. Không có hợp đồng thông minh nào bị phá vỡ. Không có mã Solidity nào bị khai thác. Toàn bộ cuộc tấn công diễn ra trong lớp vô hình giữa các chuỗi khối, trong hạ tầng xác minh ngoài chuỗi mà DeFi đã âm thầm dựa vào mà chưa hiểu rõ về điểm yếu của nó. Khi bụi lắng xuống sau 24 giờ, tổng giá trị DeFi bị khóa đã sụt giảm từ 99,5 tỷ đô la xuống còn 85,21 tỷ đô la, mất đi $14 tỷ đô la giá trị từ một vụ khai thác duy nhất. Đây là cập nhật về vụ tấn công rsETH mà mọi người tham gia DeFi cần hiểu rõ hoàn toàn.
KELPDAO LÀ GÌ VÀ TẠI SAO NÓ QUAN TRỌNG
KelpDAO là một giao thức restaking linh hoạt xây dựng trên Ethereum và EigenLayer. Người dùng gửi ETH, giao thức chuyển nó qua hạ tầng restaking của EigenLayer để kiếm thêm lợi nhuận trên phần thưởng staking tiêu chuẩn, và phát hành rsETH như một token biên nhận có thể giao dịch đại diện cho vị trí restaked cộng với phần thưởng tích lũy. Đến tháng 4 năm 2026, rsETH đã vượt qua $1 tỷ giá trị khóa tổng cộng và được tích hợp làm tài sản thế chấp trên hầu hết các thị trường cho vay lớn và nền tảng lợi nhuận trong DeFi. rsETH hoạt động trên hơn 20 mạng blockchain bao gồm Arbitrum, Base, Linea, Mantle, Blast, và Scroll, sử dụng tiêu chuẩn OFT của LayerZero để di chuyển giữa các chuỗi. Cầu bị rút sạch đó giữ dự trữ hỗ trợ tất cả các token rsETH đã được đóng gói trên tất cả các triển khai Layer 2. Khi cầu đó bị trống, 18% tổng cung rsETH lưu hành trở nên không được đảm bảo đồng thời trên hơn 20 chuỗi.
CÁCH THỰC HIỆN TẤN CÔNG PHÂN TÍCH KỸ THUẬT
Tấn công không phải là hack hợp đồng thông minh. Mọi giao dịch trên chuỗi đều trông hoàn toàn hợp lệ. Chữ ký được xác minh. Tin nhắn được định dạng đúng. Vụ khai thác nhắm vào lớp hạ tầng ngoài chuỗi — cụ thể là Mạng xác minh phi tập trung của LayerZero, hệ thống xác nhận xem các tin nhắn xuyên chuỗi có hợp lệ hay không trước khi chuỗi đích thực hiện hành động.
Cầu rsETH của KelpDAO sử dụng cấu hình DVN 1-đến-1. Điều này có nghĩa chỉ cần một thực thể, DVN của LayerZero Labs, xác minh và phê duyệt các tin nhắn xuyên chuỗi. Không có verifier thứ hai, không có xác nhận độc lập, không có dự phòng. Một verifier. Một điểm yếu.
Nhóm Lazarus của Triều Tiên, đơn vị hacker do nhà nước bảo trợ, đã phát hiện ra điểm yếu này và thực hiện một cuộc tấn công hạ tầng gồm ba phần. Đầu tiên, họ xâm nhập hai nút RPC nội bộ cung cấp dữ liệu thị trường cho verifier của LayerZero, làm nhiễu dữ liệu với thông tin sai lệch. Thứ hai, họ phát động tấn công DDoS chống lại các nút dự phòng sạch, buộc hệ thống chuyển sang hạ tầng đã bị xâm phạm. Thứ ba, với verifier giờ hoạt động hoàn toàn trên các nút bị nhiễm độc, họ chèn một nonce tin nhắn giả mạo của LayerZero số 308, báo cho hợp đồng cầu Ethereum rằng đã xảy ra đốt hợp lệ trên chuỗi nguồn, kích hoạt việc phát hành 116.500 rsETH vào ví do kẻ tấn công kiểm soát. Toàn bộ hoạt động sử dụng các ví đã được chuẩn bị sẵn qua Tornado Cash khoảng 10 giờ trước cuộc tấn công, xác nhận đây là một chiến dịch có kế hoạch từ cấp nhà nước chứ không phải khai thác cơ hội.
Trong vòng vài phút, kẻ tấn công gửi rsETH bị đánh cắp làm tài sản thế chấp trên Aave và vay hơn $236 triệu đô la WETH dựa trên đó, sử dụng token không được đảm bảo làm tài sản thế chấp cho một khoản vay thực sự. Vụ trộm $292 triệu đã biến thành việc rút WETH trị giá $236 triệu trước khi hầu hết người dùng biết chuyện gì đã xảy ra.
PHẢN ỨNG 46 PHÚT ĐỂ CỨU $100 TRIỆU USD
Nhóm phản ứng khẩn cấp của KelpDAO xác định vụ tấn công và kích hoạt multisig dừng khẩn cấp vào đúng 18:21 UTC, chính xác 46 phút sau khi rút sạch. Giao thức tạm dừng toàn hệ thống đã đóng băng gửi tiền, rút tiền và token rsETH trên mainnet và tất cả các Layer 2. Vào 18:26 và 18:28 UTC, hai lần cố gắng rút thêm của kẻ tấn công, mỗi lần nhắm vào khoảng 40.000 rsETH trị giá khoảng $100 triệu đô la, đều bị hủy bỏ trước các hợp đồng bị đóng băng. Khoảng thời gian phản ứng 46 phút là sự khác biệt giữa một vụ khai thác trị giá $292 triệu và một thảm họa trị giá $492 triệu. Hành động nhanh chóng của nhóm khẩn cấp KelpDAO là lý do duy nhất khiến thiệt hại không gấp đôi.
SỰ LÂY NHIỄM LAN TRUYỀN TRONG DEFI
Thiệt hại phía dưới diễn ra nhanh hơn bất kỳ lệnh dừng khẩn cấp nào có thể kiểm soát. Aave, nền tảng cho vay lớn nhất trong DeFi với hơn $20 tỷ giá trị khóa, đã đóng băng thị trường rsETH trên cả V3 và V4 trong vài giờ. Tỷ lệ sử dụng ETH trên Aave tạm thời tăng vọt lên 100% khi người dùng vội vàng rút tiền. Token AAVE giảm khoảng 10-20% khi các nhà giao dịch định giá rủi ro nợ xấu tiềm năng. SparkLend và Fluid đều đóng băng thị trường rsETH của họ. Lido Finance tạm dừng gửi tiền vào sản phẩm earnETH do rủi ro rsETH. Ethena tạm thời dừng các cầu OFT LayerZero từ mainnet Ethereum như một biện pháp phòng ngừa. Tổng TVL của DeFi sụt giảm từ 99,5 tỷ đô la xuống còn 85,21 tỷ đô la trong một ngày $14 tỷ đô la bị xóa sạch khỏi toàn bộ hệ sinh thái bởi một vụ khai thác trên một cầu.
Phân tích sự cố của Aave cho thấy vụ khai thác tạo ra tài sản thế chấp không được đảm bảo dùng để vay khoảng $190 triệu đô la, khiến giao thức đối mặt với rủi ro nợ xấu tiềm năng từ $123 triệu đến $230 triệu đô la tùy thuộc vào cách KelpDAO phân bổ khoản thiếu hụt cho các chủ rsETH.
TÊN TUỔI NHÓM LAZARUS
Đây không phải là một vụ hack ngẫu nhiên. LayerZero chính thức quy trách nhiệm vụ tấn công cho nhóm Lazarus của Triều Tiên, cùng đơn vị hacker do nhà nước bảo trợ liên kết với vụ khai thác Drift trị giá $285 triệu đô la vào ngày 1 tháng 4 năm 2026, và hàng chục vụ trộm tiền điện tử trước đó trị giá hàng tỷ đô la qua nhiều năm. Nhóm Lazarus là hoạt động hack crypto tinh vi và phổ biến nhất thế giới, và sự tham gia của họ trong hai trong ba vụ khai thác DeFi lớn nhất năm 2026 trong vòng 18 ngày xác nhận một chiến dịch có hệ thống, phối hợp nhằm nhắm vào hạ tầng DeFi ở lớp hạ tầng chứ không phải hợp đồng.
LÀM NỔI BẬT CỦA ARBITRUM VỚI LỆNH ĐÓNG BẤT NGỜ
Vào ngày 21 tháng 4 năm 2026, ba ngày sau vụ khai thác, Hội đồng Bảo mật Arbitrum thực hiện hành động can thiệp khẩn cấp lớn nhất trong lịch sử Layer 2. Hội đồng gồm 12 thành viên, hoạt động theo multisig 9-đến-12, đã thu giữ 30.766 ETH từ địa chỉ của kẻ tấn công trên Arbitrum One và chuyển nó đến ví trung gian bị đóng băng. Giao dịch hoàn tất lúc 23:26 ET ngày 21 tháng 4. Số tiền này không thể di chuyển nữa mà không có bỏ phiếu chính thức của quản trị Arbitrum. Hành động này thu hồi khoảng 71,15 triệu đô la, tương đương khoảng 29% ETH mà kẻ tấn công đã tích lũy trên Arbitrum. 75.701 ETH còn lại trị giá khoảng $175 triệu đô la trên Ethereum mainnet đã được chuyển đi và đang rửa tiền qua Thorchain và các công cụ riêng tư khác trước khi lệnh đóng băng được mở rộng.
Lệnh đóng băng gây tranh cãi ngay lập tức về tính phi tập trung. Nếu một hội đồng 12 người có thể đóng băng tài sản trên Arbitrum, điều đó có nghĩa gì về cam kết sở hữu không cần phép của Layer 2? Những người ủng hộ gọi đó là DeFi tự vệ chống lại tội phạm do nhà nước bảo trợ. Phê bình gọi đó là bằng chứng rằng Arbitrum cuối cùng chỉ là một ví multisig có quyền vượt qua quyền kiểm soát tài sản của người dùng.
CHIẾN TRANH ĐỔI TRÁCH GIỮA LAYERZERO VÀ KELPDAO
Thời kỳ sau khai thác đã xảy ra tranh chấp công khai đầy đủ giữa LayerZero và KelpDAO về ai chịu trách nhiệm. LayerZero công bố một bài phân tích hậu sự kiện cho rằng KelpDAO chọn cấu hình DVN 1-đến-1 mặc dù đã có khuyến nghị rõ ràng về việc áp dụng dự phòng đa verifier, và tuyên bố sẽ ngay lập tức ngừng ký các tin nhắn cho bất kỳ ứng dụng nào chạy cấu hình verifier đơn, buộc phải di chuyển toàn bộ các tích hợp LayerZero.
KelpDAO phản pháo, khẳng định cấu hình 1-đến-1 là thiết lập mặc định do LayerZero cung cấp cho các triển khai mới, tài liệu và mã triển khai công khai của LayerZero thúc đẩy xác minh nguồn đơn, và hạ tầng bị xâm phạm gồm các nút RPC và máy chủ DVN do LayerZero xây dựng và vận hành hoàn toàn, không phải Kelp. Các nhà nghiên cứu bảo mật phần nào đồng tình với Kelp, trong đó nhà phát triển nổi bật banteg đã công bố một đánh giá kỹ thuật xác nhận rằng mã triển khai tham khảo của LayerZero đi kèm xác minh nguồn đơn như mặc định trên các chuỗi chính.
Kết quả là một cuộc đối đầu chia rẽ thiệt hại mà chưa có giải pháp rõ ràng. Cả hai bên đều hứa sẽ công bố phân tích nguyên nhân gốc rễ đầy đủ. Câu hỏi sâu hơn về việc liệu mọi ứng dụng OFT 1-đến-1 hiện đang chạy trên LayerZero có cùng khả năng bị tấn công hay không vẫn chưa có câu trả lời.