😱💢💥DeFi Mất $292 Triệu trong chưa đầy một giờ!

Một sai lầm trong thiết lập đã mở cửa. Một cầu nối bị bỏ quên, thiếu người kiểm tra, là tất cả những gì cần thiết. Vi phạm lớn nhất của DeFi trong năm đó không đến từ sự xuất sắc, mà là sự bỏ bê.

Ngày 18 tháng 4 năm 2026. Thời gian: 17:35 UTC. Ai đó đã rời khỏi cầu nối LayerZero của Kelp DAO với 116.500 rsETH.. Khoản này? Gần $292 triệu. 46 phút trôi qua trước khi Kelp tạm dừng các hợp đồng của mình. Trong khoảng thời gian đó, khoảng $250 triệu token bị đánh cắp đã đổi chủ, chuyển thành ETH qua một ví đã được nạp sẵn từ trước qua Tornado Cash. Mọi bước đi đều đã được lên kế hoạch trước. Không còn gì để bỏ lỡ. Thiệt hại đã xảy ra.

Vi phạm này đánh dấu vụ hack DeFi lớn nhất trong năm 2026 - không có vụ nào khác sánh bằng.

Những gì bị xâm phạm và phương pháp sử dụng

Một biển hoạt động sôi động quanh Kelp DAO, nó hoạt động như một cỗ máy cho phép người dùng gửi ETH hoặc các tài sản stake nhất định. Thay vì đứng yên, các khoản gửi đó chảy vào EigenLayer để thu thêm lợi nhuận theo thời gian. Ra là rsETH, một token có thể hoán đổi hoặc chuyển tự do. Vấn đề xảy ra: liên kết giữa các chuỗi, giữ dự trữ cho rsETH đã bị tổn thương. Liên kết đó hỗ trợ hoạt động trên hơn hai mươi mạng lưới. Arbitrum dẫn đầu, sau đó là Base, Linea, thậm chí các mạng ít nổi tiếng hơn như Blast và Scroll, tất cả đều kết nối qua web.

Một tín hiệu giả đã lọt qua lớp phòng thủ của LayerZero, lừa hệ thống chấp nhận dữ liệu bị làm giả. Vì vậy, kết nối của Kelp phản ứng như thể có phép từ nguồn đáng tin cậy. Một giao dịch bắt đầu mà không có sự ủy quyền thực sự phía sau. 116.500 rsETH đã ra đi, bị chuyển hướng trước khi ai đó kịp ngăn chặn. Địa chỉ đích? Một địa chỉ đã nằm trong tay kẻ tấn công.

Chỉ một tin nhắn giả đã bắt đầu tất cả. Vi phạm xảy ra vì một cầu nối tin rằng đó là thật. Mọi thứ sụp đổ sau đó.

Chỉ một người ký duyệt, nên chỉ có một người kiểm soát các giao dịch. Vì vậy, hacker đã vượt qua bằng cách ký xác nhận một giao dịch để tạo ra hàng tấn rsETH mà không có gì đảm bảo trên mạng gốc. Michael Egorov, người sáng lập Curve Finance, nói thẳng: "Rủi ro xuất hiện nếu mọi thứ dựa vào một người duy nhất."

Virus lây lan nhanh chóng

Đây là lúc mọi thứ trở nên tồi tệ hơn. Không chỉ tên trộm lấy đi tiền, mà còn biến nó thành công cụ gây hại nhiều hơn.

Một làn sóng wETH vay mượn tràn qua Aave V3 sau khi hacker chuyển rsETH bị đánh cắp vào giao thức. Một vụ vi phạm lan rộng, đột nhiên, các tác động dây chuyền bao trùm phần lớn tài chính phi tập trung.

Giảm từ 26,4 tỷ đô la vào ngày 18 tháng 4, số tiền khóa của Aave gần đạt $20 tỷ đô la vào sáng Chủ nhật tại Mỹ, mất 6,6 tỷ đô la khi token AAVE giảm 16%. Vì hỗn loạn, SparkLend, Fluid và Lido đều tạm dừng giao dịch trên thị trường rsETH ngay lập tức. RaveDAO’s RAVE coin giảm 90%, từ 27,33 đô la xuống còn 1,15 đô la, xóa hơn $5 tỷ đô la giá trị thị trường chỉ trong một phiên. Dù dự kiến ổn định, nhưng hỗn loạn đã diễn ra nhanh chóng trên các nền tảng khi các con số bắt đầu trượt giảm.

Một chuyện khác xảy ra sau đó - hai lần cố gắng rút 40.000 rsETH, khoảng $100 triệu, bị ngăn chặn khi Kelp kích hoạt phanh khẩn cấp. Nhưng điều đó chẳng giúp ích nhiều sau khi $292 triệu đã biến mất.

Đây không phải là tai nạn mà là một chuỗi lặp lại

Thực tế, năm 2026 chưa từng thân thiện với an ninh DeFi

Một vụ vi phạm đã xảy ra tại Drift Protocol chạy trên Solana vào đầu ngày 1 tháng 4, xóa sạch gần $285 triệu. Sự cố bắt nguồn từ hacker liên quan đến Bắc Triều Tiên. Quỹ biến mất nhanh chóng trong vụ khai thác.

Một loạt các vụ hack đã tấn công nhiều nền tảng, CoW Swap là nơi đầu tiên, rồi Zerion gặp khó khăn. Rhea Finance theo sau, hệ thống phòng thủ bất ngờ sụp đổ. Silo Finance bị vỡ sau đó, tham gia chuỗi các vụ vi phạm diễn ra tuần này qua tuần khác.

Chỉ riêng Quý 1 năm 2026, các vụ lừa đảo và hack đã rút sạch khoảng $482 triệu tiền kỹ thuật số. Trong khi các vụ vi phạm gây thiệt hại lớn, thì trò lừa còn đóng vai trò không nhỏ trong những tháng đó.

Cuối tuần đó, Kelp đã tăng thêm khoảng $292 triệu.

Giám đốc An ninh của Ledger nói rõ: "Tổng thể, niềm tin vào các giao thức DeFi bị xói mòn bởi những sự kiện như thế này. Và năm 2026 có khả năng sẽ là năm tồi tệ nhất về các vụ hack, một lần nữa."

Thực tế khắc nghiệt của các thành phần xây dựng DeFi

Hóa ra điều mà không ai muốn thừa nhận: thứ làm DeFi linh hoạt cũng chính là thứ làm nó dễ vỡ khi gặp áp lực. Tính khả dụng ghép nối tạo ra sức mạnh qua các liên kết, nhưng những liên kết đó trở thành điểm yếu dưới áp lực.

Một khoảnh khắc rsETH từng là dự trữ đáng tin cậy trên Aave, SparkLend, Fluid, Compound, Euler, được xây dựng như vậy từ khi liên kết mở ra định nghĩa lý do tồn tại của DeFi. Các hệ thống này cho phép hoạt động tự do lẫn nhau. Đó là thiết kế. Nhưng ngay sau khi vi phạm xảy ra, các khoản giữ giả mạo tràn vào chủ yếu trên Aave, dùng nhanh để rút ETH thật qua các khoản vay, biến trộm cắp đơn lẻ thành áp lực lan rộng.

Khi một phần bị hỏng, các hệ thống dựa vào nó để đảm bảo an toàn cũng bị ảnh hưởng. Đây không phải là lỗi riêng lẻ. Đó là cách toàn bộ hệ thống hoạt động.

Khi dự trữ cầu nối cạn kiệt, những người giữ token ngoài Ethereum bắt đầu tự hỏi liệu token đó còn được đảm bảo hay không. Nỗi lo này thúc đẩy các khoản rút gấp khỏi các chuỗi layer 2, dù nguồn cung Ethereum không bị ảnh hưởng trực tiếp. Đột nhiên, Kelp có thể phải phá vỡ các tài sản đã restake chỉ để đáp ứng yêu cầu rút tiền.

Một thất bại kéo theo thất bại khác. Luôn như vậy.



Những gì cần thay đổi

Điều cần thiết không hề bí mật. Tuy nhiên, tiến bộ vẫn chậm hơn nhu cầu]

Cầu nối phải yêu cầu nhiều chữ ký thay vì chỉ một. Một chìa khóa bị hỏng không thể mở khóa khi cần nhiều sự phê duyệt. Một liên kết yếu có thể thất bại, nhưng toàn bộ hệ thống vẫn giữ chặt

Khi nói đến onboarding tài sản thế chấp, các quy tắc chặt chẽ hơn đang được áp dụng. Các thiết lập cho vay giờ đây phải đặt vấn đề về thiết kế cầu nối trước tiên, không phải sau. Token restake sẽ không thể qua mắt mà không xem xét kỹ lưỡng phần nền tảng của chúng. Thứ tự sẽ đảo ngược: kiểm tra kỹ trước khi chấp nhận, chứ không phải ngược lại. Các giao thức ít do dự hơn khi cấu trúc được xác nhận sớm. An toàn dựa vào thời điểm, một thứ tự sai có thể gây ra nhiều rủi ro hơn là chậm trễ.

Sự chậm trễ đó rất quan trọng. Kelp đã chờ đến 20:10 UTC mới đưa ra phản hồi, dù vi phạm đã bắt đầu từ lâu. Ba giờ trôi qua trước khi họ gửi thông điệp đầu tiên. Sự im lặng như vậy sẽ không thể chấp nhận khi hệ thống đã bắt đầu sụp đổ.

Khi cầu nối có dấu hiệu bất thường, hệ thống sẽ dừng ngay lập tức qua các circuit breaker liên kết chứ không chờ đợi nhiều giờ để có sự can thiệp của con người. Các cảnh báo kích hoạt việc tắt hệ thống tức thì trên các mạng liên kết thay vì chờ sửa chữa muộn. Các hệ thống phản ứng nhanh hơn con người khi phát hiện dấu hiệu cảnh báo. Các chế độ đóng băng tự động kích hoạt ngay khi có bất thường trong kênh liên lạc.

Michael Egorov thấy một điểm tích cực trong đống đổ nát: "Crypto là một môi trường khắc nghiệt mà không ngân hàng nào có thể sống sót, nhưng chúng ta vẫn làm việc với điều đó. DeFi sẽ học hỏi từ vụ việc này và trở nên mạnh mẽ hơn trước."

Có thể. Nhưng khi bài học phải trả giá bằng $292 triệu mỗi lần, giá trị đang tăng nhanh.

Một lỗi nhỏ đã mở cửa. Một tin nhắn giả lọt qua. 46 phút sau, hàng triệu đã biến mất. Vi phạm này chỉ thua kém một chút so với mất mát của Drift. Bây giờ nó là vụ sụp đổ DeFi lớn nhất năm 2026. Các liên kết giữa các hệ thống biến những vết nứt nhỏ thành thất bại toàn diện.

Một bước trước các biện pháp phòng ngừa, cầu nối ngày càng phức tạp hơn. Khi các validator thiếu đa dạng, các điểm yếu vẫn còn đó. Quy tắc về collateral cũng chưa theo kịp. Miễn là những khoảng trống này còn mở, các câu chuyện như thế này sẽ lặp lại. Không phải là nếu, mà là khi nào.

Sự sống còn của DeFi không phải là thứ đang bị thử thách. Tốc độ thay đổi của nó là để tránh một $292 triệu sai lầm nữa xuất hiện.

✅️ THEO DÕI ĐỂ XEM THÊM✅️
$BTC ‌$SOL ‌#GatePreIPOsLaunchesWithSpaceX $XRP ‌