Tối qua phát hiện Kelp DAO bị trộm, tôi đã rút toàn bộ rsETH trong tay ra, 50 đô😂

Aave xuất hiện gần 300 triệu đô la nợ xấu, hiện tại lãi suất gửi USDT trên Aave đã tăng vọt lên hơn 13%.
Sau khi phát hiện bất thường, tôi đã ngay lập tức đổi toàn bộ giá trị trên Arbitrum sang ETH. Bởi hacker không bán tháo trên DEX trên chuỗi, rsETH lúc đó còn chưa thoát khỏi mốc neo, gần như bán theo tỷ lệ 1:1. Tại sao hacker không bán tháo? Phần sau sẽ viết.
Nói ngắn gọn, thấy cầu nối chuỗi bị vấn đề thì chạy trước đã.
【什么是rsETH】
Kelp là một trong những giao thức staking thanh khoản lớn nhất trên Ethereum. rsETH giống như phiên bản staking lại của stETH của Lido, gửi ETH vào để lấy chứng chỉ rsETH, mang theo chứng chỉ đi khắp nơi: vay mượn, làm LP, xuyên chuỗi. Chỉ riêng trên Aave đã có 9,4 tỷ đô la rsETH được dùng làm tài sản thế chấp, còn có cả Compound, Gearbox, Morpho, Fluid, Euler, Pendle đều đã tích hợp.
116.500 rsETH, theo giá thị trường lúc đó là 292 triệu đô la, bị rút sạch một lần. Đây trở thành vụ an toàn DeFi lớn nhất năm 2026, vượt qua cả Drift cách đây hai tuần với 285 triệu đô.
【怎么偷的】
Vấn đề lại nằm ở cầu nối chuỗi. Kelp dùng giải pháp Cross-chain OFT của LayerZero, cơ chế nền là Lock & Mint: từ L2 chuyển rsETH về mainnet, kho chính khóa rsETH thật, L2 đúc ra phiên bản wrapped tương ứng. Hơn 20 chuỗi có rsETH đều dựa vào sự bảo chứng của kho chính trên mainnet này.
Kẻ tấn công giả mạo một tin nhắn cross-chain của LayerZero, gọi phương thức lzReceive của hợp đồng EndpointV2, trực tiếp rút sạch kho. Kho trống rỗng, tất cả rsETH trên các chuỗi biến thành không khí. Khoảng 10 giờ trước, hacker đã dùng Tornado Cash để lấy ban đầu. Một lần gọi, lấy được 292 triệu đô.
Nhóm Kelp sau 46 phút đã khẩn cấp đóng băng hợp đồng. Hacker sau đó thử hai lần nữa, mỗi lần 40.000 rsETH (khoảng 100 triệu đô), đều thất bại vì hợp đồng đã tạm dừng. Trong 46 phút, đã cứu được 200 triệu đô.
【怎么变现的】
Hacker không bán tháo trên DEX vì trượt giá lớn, không thể lấy giá tốt. Hắn ta gửi số rsETH trộm được vào Aave, Compound, Euler làm tài sản thế chấp, khi các oracle vẫn báo giá bình thường, vay khoảng 236 triệu đô WETH. Khi rsETH về 0, các khoản vay này sẽ không bao giờ bị thanh lý. Nợ xấu để lại cho protocol là ổn.
Đây cũng là lý do tôi còn có thể chạy thoát, hacker vay mượn rồi rút tiền ra chứ không bán tháo, rsETH chưa thoát khỏi mốc neo trong thời gian ngắn, tạo ra một cửa sổ.
【Aave怎么了】
Trước tiên rõ ràng: Aave không bị hack, hợp đồng của Aave không có vấn đề gì. Vấn đề là Aave đã đưa rsETH làm tài sản thế chấp, nhưng tài sản thế chấp này đã biến thành tài sản vấn đề.
Đây không phải vấn đề riêng của Aave. Tất cả các giao thức vay mượn đều có cơ chế nền tảng giống nhau, khi giá trị tài sản thế chấp > giá trị khoản vay thì an toàn. Một khi giá trị tài sản thế chấp giảm quá nhanh, không kịp thanh lý, không ai muốn nhận lại, sẽ xảy ra nợ xấu. Chỉ cần đưa vào một tài sản cuối cùng không thể trả nổi, bất kỳ giao thức vay mượn nào cũng gặp vấn đề tương tự.
Hiện tại, trạng thái rsETH trên Aave: đã bị đóng băng, quy mô dự trữ 1,31 tỷ đô, thanh khoản khả dụng bằng 0, LTV tối đa về 0. 52.580 rsETH bị khóa trong đó, không thể rút ra.
Aave là giao thức vay mượn đứng đầu trên DeFiLlama, TVL khoảng 20 tỷ đô. Lần này, nợ xấu V3 ước tính khoảng 177 triệu đô. Token AAVE giảm 10% trong 24 giờ. Lãi suất gửi USDT tăng vọt lên 13,35%, vì lượng WETH bị nợ xấu khóa chặt, thanh khoản căng thẳng, lãi suất vay mượn tăng vọt.
Năm ngoái, Aave ra mắt Quỹ an toàn Umbrella, khi xảy ra nợ xấu sẽ tự động cắt giảm phần của người thế chấp để bù đắp. Đây là lần thử nghiệm áp lực thực sự đầu tiên kể từ khi ra mắt. Liệu có thể gánh vác 177 triệu đô này không? Không chắc. Nếu không đủ, sẽ do DAO quỹ hoặc xã hội hóa chia sẻ.
【波及范围】
Không chỉ Aave. SparkLend và Fluid đã đóng băng thị trường rsETH, Lido tạm dừng gửi earnETH, Upshift tạm dừng các kho liên quan, thậm chí Ethena không liên quan gì đến rsETH cũng đã tạm thời dừng cầu nối LayerZero trong 6 giờ. Một lỗ hổng của cầu nối đã làm sập nửa thị trường vay mượn DeFi.
Kelp là lần thứ hai xảy ra trong vòng một năm. Tháng 4 năm ngoái, do lỗi hợp đồng phí dẫn đến rsETH bị đúc quá mức, Aave cũng từng đóng băng một lần, lần đó không mất tiền. Lần này không may mắn như vậy.
Chỉ có thể nói, những chuyện kiểu này là rủi ro mang tính cấu trúc của DeFi.
Lock & Mint là mô hình cầu nối chuỗi bị tấn công nhiều nhất trong lịch sử. Ronin 5,9 tỷ, Wormhole 3,26 tỷ, BNB Bridge 5,7 tỷ, Nomad 1,9 tỷ, hiện Kelp 2,92 tỷ. Dự trữ tập trung trong một kho, một lần xác thực thất bại thì toàn bộ sụp đổ.