#Gate13周年现场直击

SỰ Tấn CÔNG DEFI LỚN NHẤT NĂM 2026 VỪA XẢY RA VÀ HẬU QUẢ VẪN ĐANG LAN RỘNG.

Vào ngày 18 tháng 4 năm 2026, lúc 17:35 UTC, một kẻ tấn công đã rút sạch 116.500 token rsETH trị giá khoảng $292 triệu từ cầu nối chéo chuỗi của Kelp DAO được vận hành bởi LayerZero. Số tiền bị đánh cắp chiếm khoảng 18 phần trăm tổng cung lưu hành của rsETH là 630.000 token, và vụ tấn công đã chính thức được xác nhận là vụ hack DeFi lớn nhất năm 2026. Đây không phải là một vụ trộm ngẫu nhiên. Đó là một cuộc tấn công chính xác vào hạ tầng, được lên kế hoạch trong nhiều tháng, thực hiện trong chưa đầy 46 phút.

Cách thức vụ tấn công diễn ra:
Kẻ tấn công đã chuẩn bị sẵn sáu ví qua Tornado Cash khoảng 10 giờ trước khi rút tiền. Họ sau đó đã xâm nhập vào hai trong số các nút RPC mà trình xác thực LayerZero dựa vào để xác nhận các giao dịch chéo chuỗi, thay thế phần mềm nút bằng các phiên bản độc hại báo cáo dữ liệu giao dịch sai lệch cho trình xác thực. Một cuộc tấn công từ chối dịch vụ phân tán (DDoS) đồng thời đã buộc hệ thống chuyển đổi dự phòng, đưa các nút bị xâm phạm vào quá trình xác thực. Với trình xác thực bị lừa đảo, cầu nối của Kelp đã phát hành 116.500 rsETH tới một địa chỉ do kẻ tấn công kiểm soát.
Hệ thống đa chữ ký khẩn cấp của Kelp đã tạm dừng các hợp đồng cốt lõi sau 46 phút kể từ khi rút tiền. Hai lần cố gắng tiếp theo vào 18:26 và 18:28 UTC, mỗi lần nhắm vào khoảng 40.000 rsETH trị giá khoảng $100 triệu, đã bị chặn. Các hợp đồng đặt lại phần thưởng cốt lõi không bị ảnh hưởng. Toàn bộ vụ khai thác chỉ giới hạn ở tầng cầu nối.

Nguyên nhân gốc rễ: một điểm yếu duy nhất
Vụ tấn công chỉ thành công vì Kelp vận hành cấu hình xác thực 1-đối-1, nghĩa là LayerZero Labs là thực thể duy nhất xác nhận các tin nhắn đến và đi từ cầu nối rsETH. Trong một hệ thống đa xác thực được củng cố đúng cách, cần có sự đồng thuận của nhiều trình xác thực độc lập để phê duyệt bất kỳ tin nhắn chéo chuỗi nào. Xâm phạm một nút sẽ không đủ để tạo ra một lệnh hợp lệ. LayerZero cho biết danh sách kiểm tra tích hợp công khai của họ và các liên lạc trực tiếp với Kelp đã đề xuất một cấu hình đa xác thực với dự phòng, nhưng Kelp đã chọn duy trì cấu hình 1-đối-1.

Kelp đang phản đối thông tin này. Một nguồn quen thuộc với vị trí của Kelp cho biết với CoinDesk rằng qua kênh liên lạc trực tiếp với LayerZero mở từ tháng 7 năm 2024, không có đề xuất cụ thể nào để thay đổi cấu hình DVN của rsETH. Hướng dẫn khởi động nhanh và cấu hình mặc định trên GitHub của LayerZero đều chỉ ra cấu hình DVN 1-đối-1, và khoảng 40 phần trăm các giao thức trên LayerZero hiện đang sử dụng cùng cấu hình này. Cuộc tranh cãi công khai giữa hai nhà cung cấp hạ tầng DeFi lớn đã trở thành câu chuyện riêng của nó.

Kẻ hoạt động nhà nước: nhóm Lazarus
Thông báo vụ việc của LayerZero viết: "Các chỉ số sơ bộ cho thấy khả năng quy trách nhiệm cho một tác nhân nhà nước cực kỳ tinh vi, có thể là nhóm Lazarus của CHDCND Triều Tiên, cụ thể hơn là TraderTraitor." Nhóm Lazarus đã bị liên kết với cả vụ khai thác Drift Protocol ngày 1 tháng 4 và vụ tấn công Kelp ngày 18 tháng 4, nghĩa là cùng một đơn vị của Triều Tiên đã rút hơn $575 triệu từ DeFi trong 18 ngày qua qua hai phương thức tấn công khác nhau về mặt cấu trúc, gồm kỹ thuật xã hội để lừa đảo các người ký quản trị tại Drift, và đầu độc RPC hạ tầng tại Kelp. LayerZero đã liên hệ với nhiều cơ quan thực thi pháp luật toàn cầu và đang hợp tác với Seal911 để truy tìm số tiền bị đánh cắp.

Sự lây lan: aave, TVL, và nợ xấu
Kẻ tấn công đã gửi số rsETH bị đánh cắp vào Aave V3 làm tài sản thế chấp và vay ether đã được đóng gói dựa trên đó, để lại khoảng $196 triệu nợ xấu tập trung trong cặp rsETH-WETH trên Ethereum. Báo cáo sự cố của Aave phác thảo hai kết quả có thể xảy ra, khoảng $123 triệu thiệt hại nếu thiệt hại được chia đều cho tất cả rsETH, hoặc lên tới $230 triệu nếu giới hạn trong các mạng Layer 2, phụ thuộc vào cách Kelp DAO phân bổ khoản thiếu hụt.

Tổng giá trị bị khóa trên Aave giảm xuống còn 17,5 tỷ đô la, giảm 8,8 tỷ đô la trong hai ngày. Ngành DeFi rộng lớn hơn cũng chứng kiến dòng chảy rút lớn, tổng giá trị bị khóa trên tất cả các chuỗi giảm từ hơn $99 tỷ xuống khoảng $86 tỷ. SparkLend, Fluid, và Lido Finance đã tạm dừng các thị trường liên quan đến rsETH. Ethena đã đóng các cầu OFT LayerZero của chính mình từ mạng chính Ethereum như một biện pháp phòng ngừa dù không có tiếp xúc trực tiếp với rsETH.

rsETH được triển khai trên hơn 20 mạng bao gồm Arbitrum, Base, Linea, Blast, Mantle, và Scroll. Với khoản dự trữ cầu nối bị rút sạch, người nắm giữ trên mọi mạng L2 hiện đối mặt với sự không chắc chắn về việc liệu các token rsETH đã được đóng gói của họ có được đảm bảo đầy đủ hay không, tạo ra một vòng xoáy áp lực mua lại có thể buộc Kelp phải tháo các vị trí EigenLayer để thực hiện rút tiền.

Điều này có ý nghĩa gì đối với defi:
Vụ khai thác này không chỉ là câu chuyện của Kelp DAO. Nó là một cảnh báo về cấu trúc. Các cầu nối chéo chuỗi vẫn là bề mặt dễ bị khai thác nhất trong DeFi, và vụ tấn công này chứng minh rằng ngay cả hạ tầng nhắn tin đã được thử thách qua thời gian như LayerZero cũng có thể bị lợi dụng thông qua các sai sót trong cấu hình ở cấp độ tích hợp. Vụ khai thác của Kelp cho thấy nhóm Lazarus của Triều Tiên đang tiến hóa vượt ra ngoài các vụ hack đơn lẻ, nhanh chóng chuyển đổi chiến thuật từ kỹ thuật xã hội sang khai thác các điểm yếu cấu trúc trong hạ tầng crypto, gợi ý một chiến dịch kéo dài có sự chỉ đạo của nhà nước chứ không phải các sự cố riêng lẻ. Kiến trúc đa xác thực, các thiết lập RPC dự phòng, và các cuộc kiểm tra an ninh độc lập về cấu hình cầu nối không còn là các thực hành tốt nhất nữa. Sau ngày 18 tháng 4 năm 2026, chúng trở thành các yêu cầu sinh tồn.

#Gate13周年
#CreatorCarvinal
#KelpDAOBridgeHacked