Hệ thống tài chính phi tập trung #KelpDAOBridgeHacked DeFi( đã trải qua cuộc kiểm tra áp lực lớn nhất trong năm với cuộc tấn công cầu Kelp DAO vào thứ Bảy, ngày 18 tháng 4 năm 2026, lúc 17:35 theo giờ phối hợp quốc tế. Cầu lớp Zero do Kelp DAO hỗ trợ đã bị lừa qua một tin nhắn xác thực giả, và 116.500 rsETH — khoảng )triệu — đã bị rút trong một chuỗi giao dịch duy nhất. Số tiền này chiếm khoảng 18% tổng cung rsETH là 630.000, và sự kiện xảy ra trong vòng 46 phút. Nhóm Kelp đã ngăn chặn các hợp đồng bằng cách sử dụng chữ ký đa phương khẩn cấp vào lúc 18:21 theo giờ phối hợp quốc tế, nhưng đến lúc đó, phần lớn số tiền đã được chuyển sang ETH qua các địa chỉ liên kết với Tornado Cash.

🧐Cơ chế tấn công
Kiểm tra lớp tin nhắn LayerZero phát hiện các lệnh chuyển giả xuất hiện như đến từ chuỗi khác. Điều này đã kích hoạt chức năng lzReceive trong cầu, cho phép thực hiện việc đúc token trái phép.
Kẻ tấn công đã khai thác lỗ hổng xác thực để đúc 116.500 rsETH vào ví của mình, sau đó cố gắng trộm thêm 40.000 rsETH trong hai lần cố gắng nữa; hai lần này đã bị ngăn chặn nhờ vào chức năng dừng khẩn cấp của Kelp.
🧐Dòng chảy tiền và khai thác đòn bẩy
Khoảng $292 triệu rsETH bị đánh cắp đã nhanh chóng chuyển thành ETH. Dữ liệu chuỗi cho thấy kẻ tấn công đã vay 106.467 ETH $250 khoảng 250 triệu đô la(.
Số tiền này đã được sử dụng làm tài sản thế chấp trong Aave V3/V4, và Compound V3, và Euler, dẫn đến việc tạo ra các khoản nợ xấu vượt quá )triệu.
🧐Các tài sản và chuỗi bị ảnh hưởng
Cầu rỗng hỗ trợ dự trữ rsETH được bao phủ qua hơn 20 chuỗi, bao gồm Base, Arbitrum, Linea, Blast, và Scroll. Hiện tại, các nhà đầu tư rsETH trên các mạng Layer 2 đang đối mặt với nguy cơ thiếu đảm bảo.
Kelp đã ngừng các hợp đồng trên mạng chính và Layer 2; và đã đề cập rằng tiền của người dùng không bị đánh cắp trực tiếp, nhưng các hoạt động mua lại đã bị tạm dừng do thiếu dự trữ.
🧐Phản ứng của thị trường
Nền tảng Aave đã đóng băng các thị trường rsETH trong các phiên bản V3 và V4 trong vài giờ. SparkLend và Fluid cũng đã thực hiện bước tương tự. Nền tảng Lido Finance đã ngừng các khoản gửi mới vào sản phẩm earnETH của họ. Nền tảng Ethena đã đóng cầu LayerZero OFT trong 6 giờ như một biện pháp phòng ngừa.
Giá token AAVE đã giảm khoảng 10% sau tin tức. Các dòng chảy rút khỏi rsETH đã tăng lên trong tổng giá trị bị khóa $236 TVL(, thúc đẩy xu hướng "chạy đến nơi an toàn" trong DeFi.
🧐Bối cảnh hệ thống
Đây là vụ tấn công lớn nhất trong DeFi năm 2026, vượt qua cuộc tấn công vào giao thức Drift vào ngày 1 tháng 4 )khoảng 285 triệu đô la(. Các thiệt hại từ các vụ tấn công và lừa đảo trong quý đầu năm 2026 đã lên tới )triệu.
Trên mạng xã hội, sự kiện này đã thúc đẩy câu chuyện rằng "đặt cược lại + cầu nối = điểm yếu". Các cộng đồng Tây Ban Nha và Bồ Đào Nha đã chia sẻ sự ổn định của Bitcoin trong cùng khoảng thời gian như một ví dụ chống lại sự yếu kém của DeFi.
🤔Kết luận và dự đoán
Cuộc tấn công của KelpDAO một lần nữa chứng minh rằng tăng trưởng vượt quá an toàn. Trong ngắn hạn:
Thanh khoản rsETH sẽ tiếp tục co lại, làm tăng nguy cơ giảm giá các bản sao có thế chấp trên các mạng Layer 2.
Aave và các giao thức cho vay khác sẽ phải phân bổ dự trữ hoặc công khai kế hoạch bồi thường cho các khoản nợ xấu.
Các công ty kiểm toán và LayerZero sẽ phát hành các cập nhật khẩn cấp về logic xác thực tin nhắn của họ.
Trong dài hạn, ngành công nghiệp sẽ đặt ra các tiêu chuẩn như xác thực đa chữ ký, giám sát bất thường theo thời gian thực, và quỹ bảo hiểm cho các cầu nối xuyên chuỗi. Ba vụ tấn công lớn vượt quá $482 triệu trong 18 ngày năm 2026 cho thấy rằng vốn đầu tư tổ chức có thể chuyển hướng sang các lĩnh vực có quy định chặt chẽ hơn như quỹ ETF Bitcoin cho đến khi hạ tầng an ninh phát triển đầy đủ.
Bài học rõ ràng cho các nhà đầu tư: không phải lợi nhuận là quan trọng, mà là nơi và cách xác thực các đảm bảo, điều này sẽ quyết định thành công hay thất bại. Cuộc tấn công cầu Kelp DAO đã đi vào lịch sử như một ví dụ rõ ràng nhất về việc cân bằng "sử dụng cao = rủi ro cao" trong DeFi.
$590
#Gate13thAnniversaryLive
#CryptoCommunity
#CreatorCarnival