Tiêu đề gốc: Vụ cướp trị giá 292 triệu đô la: Hack Kelp DAO cho chúng ta biết gì về lỗ hổng sâu sắc nhất của DeFi
Tác giả gốc: Arche Capital
Biên soạn bởi: Peggy, BlockBeats

Lưu ý của biên tập viên: Vào ngày 18 tháng 4, KelpDAO đã bị trộm tài sản khoảng 292 triệu đô la Mỹ. Đây không phải là một “hợp đồng thông minh bị vi phạm” điển hình mà là một phản ứng dây chuyền do cấu hình sai lớp xác minh chuỗi chéo: kẻ tấn công đã giả mạo các tin nhắn để tạo ra 116.500 rsETH từ không khí mà lẽ ra không nên tồn tại và chuyển những “tài sản không được thế chấp” này cho Aave để cho vay ETH thực. Rủi ro nhanh chóng lan rộng từ một giao thức duy nhất sang toàn bộ hệ thống thế chấp DeFi.

Trong một hệ thống có khả năng kết hợp cao, các cầu nối chuỗi chéo, mã thông báo cam kết thanh khoản và giao thức cho vay được lồng vào nhau từng lớp. Bất kỳ lựa chọn cấu hình nào dường như "một phần" đều có thể trở thành điểm kích hoạt thâm nhập vào toàn bộ liên kết. Khi một tài sản như rsETH được nhiều người coi là tài sản thế chấp gần như an toàn, một khi cơ chế cơ bản của nó thất bại, nó sẽ không chỉ gây ra biến động giá mà còn đồng thời làm sụp đổ toàn bộ hệ thống định giá và tin cậy.

Tác giả đưa ra đánh giá sâu sắc hơn dựa trên điều này. DeFi đã tiếp tục củng cố các khái niệm thiết kế về tính mô-đun, khả năng kết hợp và “không cần cấp phép” trong vài năm qua, nhưng nó luôn thiếu các ràng buộc về tiêu chuẩn bảo mật tối thiểu. Điều này có nghĩa là lỗi cấu hình "tùy chọn" về mặt kỹ thuật cũng đủ để phát triển thành rủi ro hệ thống.

Khi một hệ thống tài chính có đòn bẩy cao, có tính liên kết cao được xây dựng trên các cấu hình kỹ thuật mong manh, thì "sự không tin cậy" không tự động đồng nghĩa với việc "bảo mật hơn".

Sau đây là nội dung gốc:

Vào chiều thứ bảy, một tin nhắn giả mạo (gần như tương đương với một dòng văn bản kỹ thuật số) đã khiến một phần mềm "tự nguyện" giao nộp 292 triệu USD. Không có súng, không có cuộc tấn công kỹ thuật xã hội, không có nốt ruồi. Tất cả những gì cần làm là cài đặt bảo mật bị định cấu hình sai và kẻ tấn công đã lên kế hoạch cẩn thận và chờ đợi hàng giờ trước.

Đến sáng Chủ nhật, vụ hack DeFi lớn nhất năm 2026 đã xóa sạch 6,6 tỷ USD khỏi bảng cân đối kế toán của Aave, khiến mã thông báo AAVE giảm mạnh 16%, đóng băng thanh khoản trong ít nhất chín giao thức chính và một lần nữa gây ra nhận định quen thuộc: DeFi đã chết.

Nó chưa chết. Nhưng lần này, nó lại một lần nữa bộc lộ vết thương mang tính cơ cấu mà ngành này đã tránh né từ lâu nhưng chưa bao giờ thực sự được sửa chữa.

Tiếp theo, chúng tôi sẽ chia nhỏ quy trình, tác động và những thay đổi có thể xảy ra tiếp theo mà quy trình này sẽ dẫn đến.

Tương tự: Phòng thay đồ

Trước khi đi vào chi tiết kỹ thuật, hãy sử dụng hình ảnh để giúp hiểu toàn bộ sự kiện.

Hãy coi Kelp DAO như một phòng thay đồ gồm 20 phòng trong một tòa nhà khổng lồ. Bạn đưa cho nó chiếc áo khoác (ETH) và nó sẽ đưa cho bạn một phiếu mua hàng (rsETH) để lấy quần áo. Bản thân phiếu thưởng này rất có giá trị: nó chứng minh rằng chiếc áo khoác thuộc về bạn và nó có thể tạo ra thu nhập trong thời gian chờ đợi. Quan trọng hơn, trong thời gian chiếc áo khoác vẫn đang được cất giữ, bạn có thể dùng voucher này làm tài sản thế chấp để vay tiền tại bất kỳ quầy nào trong tòa nhà.

Tất cả áo khoác được lưu trữ trong một nhà kho chung (Mạng chính Ethereum) ở tầng một. Mọi chứng từ trong mỗi phòng cuối cùng đều được xác nhận bởi kho chung này.

Các phòng này được kết nối thông qua một "hệ thống liên lạc nội bộ" có tên LayerZero. Khi người ở Phòng 12 (Arbitrum) muốn liên lạc với kho hàng thì phải sử dụng hệ thống liên lạc nội bộ này. Có những “nhân viên bảo mật” trong hệ thống – được gọi là DVN (Mạng xác minh phi tập trung), chịu trách nhiệm xác minh xem tin nhắn có xác thực hay không trước khi nó được thực thi.

Vấn đề là Kelp chỉ phân công một người bảo vệ cho hệ thống liên lạc nội bộ. Chỉ có một. Mọi chỉ dẫn chỉ cần có chữ ký là được coi là "xác thực".

Kẻ tấn công bước tới hệ thống liên lạc nội bộ, mạo danh ai đó ở phòng khác và nói: "Tiết lộ 116.500 thông tin xác thực." Người bảo vệ duy nhất đã chấp nhận tin nhắn giả mạo. Sau đó, nhà kho đã phát hành các chứng từ trị giá 292 triệu đô la - tất cả đều không có ai thực sự ký gửi áo khoác.

Kẻ tấn công sau đó đi thẳng đến Aave (quầy cho vay trong tòa nhà này) và nói: "Tôi muốn dùng những chứng chỉ này làm tài sản thế chấp để vay tiền." Aave đã chấp nhận các chứng chỉ theo mệnh giá. Kẻ tấn công cuối cùng đã kiếm được hơn 236 triệu đô la ETH thực.

Những gì còn lại trong tay Aave là một đống “tiền giấy” không được hỗ trợ bởi bất kỳ tài sản thực nào.

Sự việc xảy ra như thế nào (tháo gỡ từng bước)

Chuẩn bị sơ bộ

Khoảng 10 giờ trước cuộc tấn công, kẻ tấn công đã bơm tiền vào 6 ví thông qua Tornado Cash để che giấu nguồn tiền. Đó là một quy trình chuẩn bị trước cuộc tấn công tiêu chuẩn—có kế hoạch, kiên nhẫn và chuyên nghiệp.

Thực thi cuộc tấn công

Vào lúc 17:35 ngày 18 tháng 4 năm 2026 (UTC), ví của kẻ tấn công đã gọi hàm lzReceive trong hợp đồng EndpointV2 của LayerZero - đây là điểm bắt đầu để nhận và thực thi các tin nhắn xuyên chuỗi.

Kẻ tấn công đã tạo một tin nhắn giả trông giống như đến từ một hợp đồng ngang hàng hợp pháp trên Unichain, hướng dẫn bridge của Kelp giải phóng 116.500 rsETH đến địa chỉ do kẻ tấn công kiểm soát.

Cây cầu đã thực hiện lệnh này.

Không có hoạt động phá hủy trên chuỗi nguồn, không có tài sản thế chấp và không có giao dịch thực sự được bắt đầu. Quỹ dự trữ đã trực tiếp bị "rút cạn". 116.500 rsETH—khoảng 18% tổng nguồn cung đang lưu hành—bất ngờ xuất hiện trong ví của kẻ tấn công.

Vấn đề nghiêm trọng của DVN

Cốt lõi của vấn đề là Kelp sử dụng cấu hình 1/1 DVN - chỉ có một nút xác minh chịu trách nhiệm xác nhận xem các tin nhắn xuyên chuỗi có hợp pháp hay không.

Miễn là nút này bị xâm phạm hoặc giả mạo thì mọi thông báo đều có thể bị giả mạo. Như một nhà phát triển đã nói trên

Cho dù đó là con đường nào thì bản chất đều giống nhau: một điểm thất bại.

Bước 2: Rút hết giá trị

Kẻ tấn công đã không ném trực tiếp 292 triệu USD rsETH ra thị trường - điều đó sẽ ngay lập tức khiến giá sụp đổ.

Họ đã chọn một con đường hiệu quả hơn: gửi những rsETH này vào Aave V3 làm tài sản thế chấp và cho vay một lượng lớn WETH. Vì những rsETH này thực sự không được hỗ trợ bởi bất kỳ tài sản nào nên các tài sản thế chấp này về cơ bản là “không khí”. Tuy nhiên, Aave không thể nhận ra điều này trong thời gian thực và vẫn sẽ xử lý nó như một khoản thế chấp thông thường.

Kết quả là kẻ tấn công đã lấy đi ETH thật và để lại một khoản nợ khó đòi.

Phản ứng khẩn cấp

Chữ ký đa chữ ký khẩn cấp của Kelp đã thực hiện lệnh tạm dừng sau 46 phút, đóng băng nhóm tiền gửi LRT, hợp đồng rút tiền, oracle và rsETH. Hai cuộc tấn công bổ sung được cố gắng tiếp theo (mỗi cuộc trị giá khoảng 40.000 rsETH, tổng trị giá khoảng 100 triệu USD) đã bị chặn. Nếu không tạm dừng, tổng thiệt hại có thể lên tới gần 391 triệu USD.

Đây là cơ chế duy nhất trong toàn bộ vụ việc hoạt động đúng như thiết kế.

Tác động mang tính hệ thống đối với nhóm DeFi

Vì rsETH được nhúng sâu vào toàn bộ hệ thống DeFi và tồn tại rộng rãi dưới dạng tài sản thế chấp nên tác động lan truyền gần như ngay lập tức.

Aave đã đóng băng hoàn toàn thị trường rsETH trên V3 và V4. Mức sử dụng ETH tăng vọt lên 100% - tất cả ETH trong nhóm đã được vay và người gửi không thể rút tài sản của họ. Sự hoảng loạn nhanh chóng lan rộng và hơn 5,4 tỷ USD ETH đã bị rút khỏi giao thức. Justin Sun đã thu về khoảng 154 triệu USD chỉ trong một giao dịch. TVL của Aave đã bốc hơi 6,6 tỷ USD chỉ trong vài giờ.

SparkLend và Fluid cũng đóng băng thị trường rsETH tương ứng của họ. SparkLend cho biết họ không gặp rủi ro trực tiếp, điều này được cho là do chiến lược kiểm soát rủi ro thận trọng hơn.

Lido Finance đã tạm dừng gửi tiền cho sản phẩm kiếm ETH của mình (có rủi ro về rsETH), nhưng giao thức cốt lõi và stETH không bị ảnh hưởng.

Ethena đã đình chỉ cầu nối chuỗi OFT dựa trên LayerZero vì lý do phòng ngừa (mặc dù nó không giữ rsETH và tỷ lệ thế chấp tổng thể vẫn cao hơn 101%). Bản thân hành động này cho thấy sự hoảng loạn đã rời khỏi các tài sản cụ thể và chuyển sang cấp độ hệ thống.

Upshift đã đình chỉ quyền truy cập vào kho tiền ETH và Kelp Gain tăng trưởng cao.

Nhà phân tích trên chuỗi 0xngmi đã tóm tắt phạm vi hệ thống của tác động này trong một câu: Việc rút tiền "thậm chí còn lan sang Solana và các giao thức không bị ảnh hưởng khác - sự hoảng loạn của thị trường không còn nhắm vào chính rsETH nữa mà toàn bộ DeFi Trust trong ngăn xếp đã bị lung lay.

Các lỗ hổng cấu trúc bị lộ

Cuộc tấn công này không dựa vào việc bẻ khóa thuật toán mã hóa, cũng như không yêu cầu kỹ thuật đảo ngược hợp đồng thông minh. Nó khai thác. lỗi ra quyết định ở cấp cấu hình.

LayerZero về bản chất là kiến trúc - mỗi giao thức có thể chọn tham số bảo mật riêng. Tính linh hoạt này thực sự là một lợi thế về mặt kỹ thuật, nhưng điều đó cũng có nghĩa là một giao thức chỉ có thể định cấu hình một nút xác minh và hệ thống sẽ chạy như bình thường. Cho đến một ngày, 292 triệu đô la được chuyển trực tiếp.

Đây không chỉ là vấn đề đối với LayerZero mà còn đối với toàn bộ DeFi. "không được phép" có thể thay thế các tiêu chuẩn an toàn bắt buộc

DeFi đã xây dựng một hệ thống tài chính có thể được lắp ráp tự do giống như những viên gạch Lego, nhưng không có những ràng buộc về cấu trúc của hệ thống tài chính truyền thống

Khi bạn gửi tiền vào ngân hàng, bạn cho rằng cơ chế bảo mật của quỹ được quy định và tiêu chuẩn hóa; trong DeFi, bạn thực sự tin tưởng:

·Quyết định cấu hình của mọi kỹ sư

·Mọi con đường tích hợp

·Logic thực hiện trên mọi con đường. chuỗi

Sự tin cậy này là "ngầm, phân tán và không thể xác minh."

LRT: Một cấu trúc khuếch đại rủi ro

Mã thông báo được thế chấp bằng thanh khoản (LRT) càng khuếch đại thêm vấn đề này.

Chính "khả năng kết hợp" khiến rsETH trở thành tài sản thế chấp chất lượng cao và cũng khiến nó trở thành nguồn tăng rủi ro hệ thống khi nó thất bại.

Điều gì sẽ xảy ra tiếp theo

Kẻ tấn công về cơ bản có thể được coi là không thể thu hồi được. ZachXBT, thám tử trực tuyến đã xác định được sáu ví tấn công mà các nhà phân tích đang tiếp tục theo dõi, nhưng những kẻ tấn công ở quy mô này thường có những con đường phức tạp để chuyển tiền

Vấn đề cấp bách nhất hiện nay là cách giải quyết các khoản nợ khó đòi của Aave. Có ba con đường có thể xảy ra:

1. Mô-đun bảo mật (Umbrella) sẽ hấp thụ khoản lỗ và giao thức sẽ trở lại bình thường trong vòng vài ngày

2. nhưng có thể chịu đựng được)

3. Việc đóng băng trong thời gian dài dẫn đến sự sụp đổ của niềm tin và chu kỳ phục hồi được tính bằng năm

Thông tin liên lạc của Aave trong 72 giờ tới sẽ quyết định kỳ vọng của thị trường

Kelp DAO rất có thể sẽ tiếp tục tồn tại trong hệ thống KernelDAO ở quy mô giảm dần, nhưng vị thế của rsETH với tư cách là tài sản thế chấp hàng đầu về cơ bản đã chấm dứt. để khôi phục

LayerZero cũng sẽ buộc phải điều chỉnh. Báo cáo đánh giá rất có thể sẽ xác nhận sự đồng thuận của cộng đồng: các tiêu chuẩn bảo mật tối thiểu cho DVN phải được thiết lập. Mặc dù quan chức vẫn có thể đề xuất nó dưới dạng "gợi ý", nhưng áp lực thị trường sẽ thúc đẩy nó theo hướng thực thi trên thực tế

Thỏa thuận cho vay sẽ định giá lại tất cả các tài sản thế chấp LRT bao gồm rsETH, ezETH, weETH và pufETH. mặt:

·Tỷ lệ tài sản thế chấp (LTV) thấp hơn

·Giới hạn nguồn cung chặt chẽ hơn

·Đánh giá rủi ro chi tiết hơn

Thời đại mà LRT được coi là gần tương đương với stETH đã kết thúc

Các cơ quan quản lý sẽ không bỏ qua sự cố này. Hai cuộc tấn công trị giá hơn 285 triệu USD trong cùng một tháng — Drift Protocol (ngày 1 tháng 4) và Kelp (ngày 18 tháng 4) — đưa ra nhiều lập luận để thúc đẩy các chính sách. để bắt buộc các tiêu chuẩn bảo mật trong DeFi.

Dự kiến ​​trước cuối quý 2, hai sự cố này sẽ xuất hiện trong các phiên điều trần của Quốc hội Hoa Kỳ và cuộc tư vấn kỹ thuật MiCA của EU, trở thành những trường hợp quan trọng trong các cuộc thảo luận về mặt pháp lý.

Kết luận

292 triệu USD đã biến mất. Chỉ có một nhân viên an ninh được giao nhiệm vụ đảm trách "phòng thay đồ" này, bảo vệ một kho tiền chứa gần 1/5 số "áo khoác" khi nhân viên bảo vệ bị đột nhập. Những kẻ tấn công thậm chí không cần phải mở khóa hoặc mở két - chúng chỉ cần "yêu cầu một cách lịch sự" và được cho qua

Cách ngành phản ứng tiếp theo sẽ xác định liệu sự cố này có trở thành một bước ngoặt thực sự hay chỉ được ghi nhận là một thảm họa khác có thể tránh được. Việc khắc phục kỹ thuật thực sự không phức tạp - nhiều cấu hình DVN, đặt ngưỡng bảo mật tối thiểu và các thông số thế chấp LRT thận trọng hơn. không giống như “an toàn”.

Lời hứa của DeFi ngay từ đầu là xây dựng cơ sở hạ tầng minh bạch và có trách nhiệm hơn tài chính truyền thống. Nhưng lời hứa này chỉ có thể đáng tin cậy nếu bản thân hệ thống cũng an toàn hơn. Sự ví dụ tương tự về phòng giữ áo có hiệu quả vì khi bạn đi lấy áo khoác, nó thực sự vẫn còn ở đó.

[Liên kết gốc]