KelpDAO bị đánh cắp báo động an ninh DeFi mang lại cho chúng ta bài học gì

Shaw.ai, Tiền tệ vàng

Ngày 18 tháng 4, cộng đồng tiền mã hóa đón nhận sự kiện an ninh DeFi nghiêm trọng nhất từ đầu năm 2026 — vụ tấn công vào cầu nối cross-chain của KelpDAO dẫn đến mất rsETH, chỉ trong vài giờ đã bị trộm khoảng 116.500 rsETH, trị giá lên tới 290 triệu USD theo giá thời điểm đó, tương đương 18% tổng cung rsETH. Cuộc tấn công này không chỉ đẩy KelpDAO vào khủng hoảng mà còn gây ra hoảng loạn thanh khoản toàn ngành DeFi, thậm chí các nền tảng cho vay hàng đầu như Aave cũng bị kéo xuống, hơn 9 tỷ USD tiền gửi bị rút ra khẩn cấp, được xem như một vụ “sóng thần tài chính” về an ninh.

Có thể nhiều người còn xa lạ với các thuật ngữ “cầu nối cross-chain”, “rsETH”, “rút tiền thanh khoản”, đừng vội, chúng ta sẽ dùng ngôn ngữ đơn giản nhất, từng bước tái hiện toàn bộ quá trình tấn công của hacker, rồi bàn về diễn biến mới nhất và các vấn đề mọi người quan tâm nhất.

一、Hiểu rõ 3 khái niệm then chốt để dễ dàng hiểu sự kiện

Trước khi nói về quá trình tấn công, hãy làm rõ 3 thuật ngữ cốt lõi, tránh bị rối:

• rsETH: Nói đơn giản là “token phái sinh của ETH”. Chúng ta biết ETH (Ethereum) có thể “đặt cọc” để kiếm lãi, nhưng sau khi đặt cọc thì vốn bị khóa, không thể dùng ngay. rsETH chính là token được “đóng gói” từ ETH đã đặt cọc, giữ rsETH tức là bạn sở hữu quyền sở hữu đối với ETH đã đặt cọc đó, vừa có thể kiếm lãi, vừa có thể giao dịch, thế chấp bất cứ lúc nào, giống như “phiếu đổi ETH đã đặt cọc”.

• Cầu nối cross-chain: Các blockchain khác nhau (ví dụ Ethereum, BSC) giống như các “ngân hàng” riêng biệt, cầu nối cross-chain là “kênh chuyển tiền” kết nối các “ngân hàng” này, cho phép rsETH và các token tương tự có thể chuyển giữa các blockchain khác nhau. Lần này bị tấn công chính là cầu nối rsETH xây dựng trên nền tảng LayerZero của KelpDAO.

• Module LayerZero DVN: Có thể hiểu là “nhân viên kiểm tra an ninh” của cầu nối cross-chain, chịu trách nhiệm xác minh tính xác thực của các giao dịch xuyên chuỗi — ví dụ xác nhận bạn thực sự đã chuyển token trên chuỗi A, mới cho phép phát hành token tương ứng trên chuỗi B. Thông thường, để đảm bảo an toàn, sẽ có nhiều “nhân viên kiểm tra” (bộ xác thực đa) cùng kiểm tra, nhưng KelpDAO chỉ cài đặt 1 “nhân viên kiểm tra” (xác thực đơn), điều này tạo cơ hội cho hacker lợi dụng.

二、Quá trình tấn công của hacker: 3 bước lấy đi 290 triệu USD, xứng đáng là “bài học điển hình”

Cuộc tấn công này cực kỳ kín đáo và hiệu quả, toàn bộ diễn ra trong chưa đầy 1 giờ, các bước rõ ràng, nhắm mục tiêu chính xác, cụ thể gồm 3 bước:

Bước 1: Tìm lỗ hổng, “tạo tiền từ không”

Hacker đã chính xác phát hiện ra lỗ hổng chết người của cầu nối cross-chain của KelpDAO — dựa vào việc phụ thuộc vào một xác thực DVN của LayerZero duy nhất. Thông thường, để tạo rsETH, cần có ETH thật sự đặt cọc làm nền tảng, nhưng hacker đã dùng thủ thuật kỹ thuật, giả mạo thông điệp xác minh giao dịch xuyên chuỗi, lừa đảo “nhân viên kiểm tra” duy nhất này.

Cụ thể hơn, hacker đã xâm nhập sớm vào các nút RPC phụ thuộc vào LayerZero DVN, thay thế phần mềm chạy của các nút này, còn dùng tấn công DDoS làm tê liệt các nút bình thường, buộc “nhân viên kiểm tra” chỉ còn cách dựa vào các nút bị sửa đổi để lấy thông tin. Như vậy, hacker đã thành công “tạo ra” 116.500 rsETH ảo, không có bất kỳ ETH thật nào đảm bảo, giống như có “phiếu đổi ETH cầm cố” giả, lừa tất cả mọi người.

Bước 2: Vay mượn, “biến giả thành thật”

Sau khi có “rsETH giả”, hacker không bán ngay (sợ bị phát hiện), mà chọn cách hợp lý hơn để thu lợi — gửi vào các nền tảng vay mượn lớn như Aave, Compound để thế chấp vay tiền. Họ gửi các rsETH giả này vào 9 giao thức vay, chủ yếu là Aave v3, làm tài sản thế chấp, vay ra lượng lớn WETH thật (token đóng gói của ETH, giá trị tương đương ETH), giống như dùng “tiền giả” vay “tiền thật”.

Bước 3: Gây hoảng loạn, bùng nổ rút tiền hàng loạt

Hacker thao tác cực nhanh, hàng loạt rsETH giả bị thế chấp, hàng loạt WETH bị vay ra, dẫn đến thị trường WETH của Aave v3 cạn kiệt thanh khoản, tỷ lệ sử dụng tăng vọt lên 100% — nói cách khác, WETH trong Aave bị vay hết sạch, người dùng bình thường muốn rút tiền cũng không được.

Khi tin đồn lan ra, thị trường lập tức hoảng loạn: mọi người lo Aave sẽ gặp nợ xấu lớn do “cầm cố giả”, tiền của mình không an toàn. Một cuộc “rút tiền hàng loạt” quy mô lớn bắt đầu — không chỉ WETH, mà các stablecoin như USDC, USDT cũng tăng đột biến tỷ lệ sử dụng, nhà đầu tư hoảng loạn rút tiền khỏi Aave, trong 48 giờ đã có hơn 9 tỷ USD bị rút ra, tổng vốn DeFi giảm 13,2 tỷ USD.

Đáng chú ý, sau khi xảy ra khoảng 46 phút, KelpDAO đã phát hiện ra bất thường, khẩn cấp tạm dừng các hợp đồng liên quan đến rsETH, ngăn chặn hacker tiếp tục tấn công, nếu không thiệt hại có thể còn lớn hơn. Cuộc tấn công này còn được cho là do nhóm Lazarus của Triều Tiên thực hiện, với dấu vết rất rõ ràng về chuyên nghiệp.

三、Diễn biến mới nhất: các bên khẩn trương ứng phó, nợ xấu vẫn còn chờ giải quyết

Sau khi xảy ra vụ việc, KelpDAO, LayerZero, Aave và các bên liên quan đã nhanh chóng hành động, đến ngày 23 tháng 4, diễn biến mới nhất như sau:

1. KelpDAO: Khẩn cấp tạm dừng các hợp đồng liên quan đến rsETH trên mainnet và nhiều chuỗi Layer2, phối hợp LayerZero, các tổ chức kiểm toán và chuyên gia an ninh để điều tra toàn diện, hiện vẫn đang tổng hợp thiệt hại và bàn về giải pháp xử lý nợ xấu.

2. LayerZero: Khẳng định rằng vụ tấn công không phải do lỗ hổng của chính giao thức, mà do cấu hình “xác thực DVN đơn” của KelpDAO — không phù hợp với thực hành tốt nhất của “đa xác thực”. Hiện đã loại bỏ các nút RPC bị ảnh hưởng, thay thế bằng nút mới, yêu cầu các dự án còn dùng “xác thực đơn” nâng cấp lên “đa xác thực” càng sớm càng tốt, đồng thời phối hợp các cơ quan pháp luật toàn cầu truy tìm nguồn tiền của hacker.

3. Aave: Khẩn cấp đóng băng thị trường thế chấp rsETH để tránh nợ xấu lan rộng. Ngày 21 tháng 4, Aave cập nhật tiến trình, cho biết dự trữ WETH của thị trường Ethereum Core V3 đã được mở khóa, người dùng có thể gửi WETH trở lại thị trường này, nhưng tỷ lệ vay WETH (LTV) vẫn là 0 (tạm thời không thể dùng WETH để vay). Các dự án WETH trên các chuỗi khác như Ethereum Prime, Arbitrum vẫn đang bị đóng băng, sẽ dần mở lại trong thời gian tới.

4. Ảnh hưởng toàn ngành: Sự kiện này đã khiến toàn ngành suy nghĩ lại về an toàn cầu nối cross-chain, rủi ro của token thế chấp lại (LRT). Nhiều giao thức vay mượn bắt đầu siết chặt tiêu chuẩn tài sản thế chấp, loại bỏ các token LRT ít sử dụng, tránh lặp lại rủi ro. Ngoài ra, nhiều tổ chức an ninh mạng đã phát hành hướng dẫn an toàn cho cầu nối cross-chain, khuyến nghị các dự án kiểm tra toàn diện các điểm yếu như “xác thực điểm đơn”, “an ninh nút”. Một số dự án cross-chain hàng đầu đã chủ động nâng cấp an ninh, tăng cường xác thực đa điểm, bảo vệ RPC, phòng chống tấn công DDoS và sửa đổi nút.

5. Chi tiết theo dõi dòng tiền hacker: Tính đến ngày 23 tháng 4, dữ liệu trên chuỗi cho thấy trong 116.500 rsETH bị trộm, đã có khoảng 30% được đổi thành WETH và USDC, một phần chuyển qua các sàn DEX để phân tán, khoảng 20% còn lại chuyển vào ví ẩn danh, gây khó khăn cho việc truy vết. Tuy nhiên, các tổ chức an ninh đã khóa các địa chỉ liên quan hacker, phát hiện một số dòng tiền đã chảy vào sàn giao dịch hợp pháp, đang phối hợp để đóng băng và điều tra, sẽ tiếp tục cập nhật tiến trình theo dõi.

6. Thông tin bồi thường cho người dùng: Trong thông báo cộng đồng ngày 22 tháng 4, KelpDAO cho biết sẽ ưu tiên bảo vệ quyền lợi người dùng bình thường, đang tổng hợp danh sách người sở hữu rsETH và thiệt hại, dự kiến bồi thường một phần qua “quỹ cộng đồng + bảo hiểm của bên thứ ba”, nhưng tỷ lệ bồi thường và thời gian chưa xác định, chờ kiểm toán hoàn tất sẽ công bố chi tiết. Aave cũng khẳng định rằng nợ xấu phát sinh sẽ không do người gửi tiền bình thường gánh chịu, sẽ xử lý qua quỹ dự phòng rủi ro của nền tảng và trách nhiệm của các bên liên quan.

四、Các câu hỏi bạn quan tâm nhất, giải thích rõ ràng

Sau sự kiện, nhiều nhà đầu tư và người dùng tiền mã hóa có thắc mắc, dưới đây tổng hợp 5 câu hỏi phổ biến nhất và câu trả lời bằng ngôn ngữ dễ hiểu:

1. Tại sao hacker có thể thành công? Nguyên nhân chính là gì?

Nguyên nhân chính là do “cấu hình an toàn sai” của KelpDAO — giao phó hoàn toàn an ninh cầu nối cross-chain cho “nhân viên kiểm tra” duy nhất (xác thực DVN đơn). LayerZero đã cảnh báo từ lâu về rủi ro của cấu hình này, nhưng KelpDAO không để ý. Hacker đã lợi dụng lỗ hổng này, bằng cách sửa đổi nút, giả mạo thông điệp xác minh, gây ra “tạo tiền không có đảm bảo”, về bản chất là “tin tưởng điểm đơn” gây ra sự cố an ninh, chứ không phải do lỗi mã nguồn.

2. 2.9 tỷ USD bị trộm có thể thu hồi không?

Khó nhưng không hoàn toàn không thể. Hiện tại, LayerZero và các tổ chức liên quan đang phối hợp với cơ quan pháp luật để truy tìm dòng tiền hacker, dù hacker đã dùng công cụ ẩn danh để che giấu nguồn tiền, nhưng các giao dịch trên chuỗi không thể hoàn toàn xóa bỏ dấu vết. Tuy nhiên, do hacker rất chuyên nghiệp (nghi là nhóm APT), một số dòng tiền có thể đã chuyển đi nơi khác, nên khả năng thu hồi còn hạn chế, chưa thể xác định chính xác số tiền có thể lấy lại.

3. Tiền của người dùng bình thường có bị ảnh hưởng không?

Có hai trường hợp: ① Nếu bạn chỉ gửi tiền vào các nền tảng như Aave mà không thế chấp rsETH, thì hiện tại tiền của bạn vẫn an toàn, Aave đã tạm thời đóng băng, sẽ dần phục hồi; ② Nếu bạn sở hữu rsETH hoặc dùng rsETH để thế chấp, có thể sẽ thiệt hại, tùy thuộc vào cách xử lý nợ xấu của KelpDAO trong thời gian tới.

4. Sự kiện này khác gì các vụ tấn công cầu nối cross-chain trước đây?

Điểm khác lớn nhất là “tác động chuỗi cực mạnh”. Các vụ tấn công cầu nối trước đây thường chỉ ảnh hưởng đến một dự án riêng lẻ, còn lần này do rsETH được nhiều nền tảng vay mượn lớn chấp nhận làm tài sản thế chấp, hacker thao túng gây ra hoảng loạn thanh khoản toàn ngành, phạm vi ảnh hưởng rộng hơn, gây tổn thất niềm tin lớn hơn. Ngoài ra, cuộc tấn công này là sự kết hợp giữa “cấu hình sai” và “xâm nhập hạ tầng”, chứ không chỉ do mất khoá riêng hoặc lỗi mã nguồn.

5. Các thay đổi trong ngành DeFi sau này sẽ ra sao?

Điều rõ ràng nhất là “nâng cao an ninh cấu hình” — các cầu nối cross-chain trong tương lai sẽ bắt buộc phải có “đa xác thực”, tránh phụ thuộc vào điểm yếu duy nhất; các giao thức vay mượn sẽ thắt chặt tiêu chuẩn tài sản thế chấp, loại bỏ token LRT ít sử dụng để tránh rủi ro lặp lại. Ngoài ra, ngành có thể thúc đẩy “cơ chế tự động ngắt quãng trên chuỗi”, tự động tạm dừng hoạt động khi phát hiện giao dịch bất thường, để hạn chế thiệt hại, nâng cao quản lý rủi ro của DeFi.

五、Tổng kết: Một lời cảnh tỉnh cho toàn ngành

Vụ tấn công 290 triệu USD này về bản chất là hậu quả của “suy nghĩ chủ quan” và “thiếu cảnh giác về an ninh” — KelpDAO đã bỏ qua các cảnh báo của LayerZero, dùng cấu hình “xác thực điểm đơn” rủi ro cao, cuối cùng tạo điều kiện cho hacker lợi dụng. Chuỗi phản ứng của sự kiện cũng phơi bày những hạn chế của cấu trúc “xếp hình Lego” của DeFi: một khâu hỏng, có thể kéo theo toàn bộ ngành.

Với người dùng bình thường, đây cũng là một lời nhắc nhở quan trọng: đầu tư tiền mã hóa vốn đã có rủi ro, khi chọn dự án, không chỉ nhìn vào lợi nhuận mà còn phải chú ý đến cấu hình an toàn và khả năng quản lý rủi ro của dự án, tránh để sự sơ suất của dự án gây thiệt hại cho chính mình.

Hiện tại, các bước xử lý tiếp theo vẫn đang diễn ra, cách chia sẻ nợ xấu, nâng cấp an ninh cầu nối cross-chain, các phương án bồi thường người dùng vẫn là tâm điểm chú ý của ngành. Ngoài ra, sự kiện này còn thúc đẩy các cơ quan quản lý sớm ban hành quy định về an toàn cầu nối, chuẩn hóa việc phát hành và lưu thông token thế chấp lại, nhằm phòng ngừa rủi ro hệ thống. Chúng tôi sẽ tiếp tục theo dõi và cập nhật các diễn biến mới nhất để gửi đến các bạn.