#KelpDAOBridgeHacked

Vào ngày 18 tháng 4 năm 2026, Kelp DAO trở thành nạn nhân của vụ khai thác tiền điện tử lớn nhất trong năm khi hacker rút khoảng 292-294 triệu đô la từ cơ sở hạ tầng cầu nối chuỗi chéo của nó. Cuộc tấn công nhằm vào cầu nối do LayerZero hỗ trợ của giao thức, cho phép chuyển đổi các token rsETH (ether đã đặt lại cược) qua nhiều mạng blockchain khác nhau. Sự cố này đánh dấu một vi phạm lớn trong hệ sinh thái tài chính phi tập trung và đã gây chấn động toàn cộng đồng crypto.

Kelp DAO là gì

Kelp DAO hoạt động như một giao thức đặt lại cược linh hoạt cho phép người dùng gửi các token staking phổ biến như stETH hoặc cbETH để đổi lấy token rsETH. Những token rsETH này đại diện cho "ether đã đặt lại cược", giúp người dùng kiếm lợi nhuận từ các khoản đầu tư tiền điện tử không hoạt động trong khi vẫn duy trì tính thanh khoản. Cơ sở hạ tầng cầu nối của giao thức, được xây dựng bằng công nghệ LayerZero, giúp di chuyển các token này qua hơn 20 mạng blockchain khác nhau bao gồm Base, Arbitrum, Linea, Blast, Mantle và Scroll.

Cơ chế tấn công

Vụ khai thác xảy ra thông qua một thao tác tinh vi trong hệ thống truyền tin chuỗi chéo. Hacker đã gửi các tin nhắn giả mạo trông giống như lệnh hợp lệ, kích hoạt hệ thống chuyển 116.500 rsETH đến địa chỉ của hacker. Số lượng này chiếm khoảng 18% tổng cung lưu hành của rsETH tại thời điểm đó.

Các chuyên gia an ninh từ Cyvers giải thích rằng hacker đã khai thác lỗ hổng xác thực trạng thái và truyền tin để vượt qua các biện pháp bảo vệ và rút collateral. Kỹ thuật này cho phép tạo ra các token rsETH không được đảm bảo, sau đó dùng để vay các tài sản thực như ETH. Cơ chế này cho thấy các vụ khai thác cầu nối chuỗi chéo có thể leo thang nhanh chóng, tạo ra không chỉ một vi phạm trong một giao thức mà còn một sự lây lan giữa các giao thức ảnh hưởng đến nhiều nền tảng cùng lúc.

Phản ứng ngay lập tức và kiểm soát thiệt hại

Ngay sau khi phát hiện hoạt động đáng ngờ liên quan đến rsETH, Kelp DAO đã ngay lập tức tạm dừng tất cả các hợp đồng rsETH trên mạng chính Ethereum và một số mạng layer-2. Giao thức phối hợp với LayerZero, Unichain, các kiểm toán viên và chuyên gia an ninh để phân tích nguyên nhân gốc rễ. Phản ứng khẩn cấp này giúp hạn chế thiệt hại thêm nhưng không thể hoàn nguyên các tài sản đã bị đánh cắp.

Cuộc tấn công đã kích hoạt các lệnh phong tỏa khẩn cấp trên nhiều nền tảng DeFi. Aave, giao thức cho vay DeFi lớn nhất, đã đóng băng các thị trường rsETH của mình trên Ethereum và Arbitrum để ngăn chặn rủi ro nợ xấu gia tăng. Ước tính của ngành cho thấy Aave có thể đối mặt với khoản lỗ từ $123 triệu đến $230 triệu đô la do vụ việc này. Lido báo cáo khoảng 21,6 triệu đô la rủi ro qua các vị thế vay mượn và cho biết có thể sử dụng một khoản dự phòng lỗ $3 triệu đô la để giảm thiểu thiệt hại.

Nguồn gốc và điều tra

Nhiều nguồn tin quy trách vụ tấn công cho hacker Triều Tiên, đặc biệt nhóm Lazarus, còn gọi là TraderTraitor. LayerZero xác nhận rằng vào ngày 18 tháng 4, các hacker nhắm vào mạng xác thực phi tập trung DVN (Decentralized Validator Network) bằng cách đầu độc hạ tầng RPC phía dưới. Hacker đã truy cập danh sách các RPC của DVN, xâm nhập hai nút độc lập chạy trên các cụm riêng biệt, và thay thế các tệp nhị phân chạy các nút op-geth.

Việc quy trách nhiệm này phù hợp với mô hình tấn công quen thuộc của Triều Tiên trong việc nhắm vào các nền tảng tiền điện tử. Theo dữ liệu có sẵn, hacker Triều Tiên đã trộm hơn $2 tỷ đô la tiền điện tử trong năm 2025, tổng cộng từ 2017 đến nay khoảng $6 tỷ đô la. Các chuyên gia an ninh nhận định rằng vụ tấn công này thể hiện cách tiếp cận quen thuộc của Triều Tiên là xâm nhập kiên nhẫn, thao túng lòng tin và che giấu phát hiện.

Trò chơi đổ lỗi: Kelp DAO vs LayerZero

Sau vụ việc, đã xuất hiện tranh cãi giữa Kelp DAO và LayerZero về trách nhiệm của vụ vi phạm an ninh. Kelp DAO cho rằng cấu hình mặc định của LayerZero là nguyên nhân chính gây ra thảm họa lớn, cho rằng nhà cung cấp hạ tầng đã tạo ra lỗ hổng qua các lựa chọn cấu hình. LayerZero phản bác rằng chính thiết lập cụ thể của Kelp DAO mới là thủ phạm và nhấn mạnh rằng họ đã từng truyền đạt các thực hành tốt nhất về đa dạng hóa DVN cho Kelp DAO.

Tranh cãi này làm nổi bật tính phức tạp của trách nhiệm trong tài chính phi tập trung, nơi nhiều bên cùng góp phần vào hạ tầng bảo mật của các giao thức liên kết. Vụ việc đặt ra câu hỏi quan trọng về phân chia trách nhiệm giữa nhà phát triển giao thức và nhà cung cấp hạ tầng trong hệ sinh thái DeFi.

Ảnh hưởng rộng hơn đến DeFi

Vụ hack Kelp DAO đã đẩy tổng thiệt hại do khai thác DeFi trong tháng 4 năm 2026 vượt quá $600 triệu đô la, trở thành một trong những tháng gây thiệt hại lớn nhất trong lịch sử tiền điện tử. Sự cố này theo sau vụ khai thác Drift Protocol vào ngày 1 tháng 4 năm 2026, gây thiệt hại khoảng $285 triệu đô la, cũng do hacker Triều Tiên thực hiện.

Vụ tấn công đã thổi bùng các cuộc thảo luận về độ an toàn của các cầu nối chuỗi chéo, vốn luôn nằm trong số các thành phần dễ bị tấn công nhất của hạ tầng DeFi. Mặc dù đã có nhiều cuộc kiểm toán và biện pháp bảo vệ, các cầu nối vẫn tiếp tục là mục tiêu hấp dẫn cho các hacker tinh vi do tính phức tạp và lượng giá trị lớn mà chúng bảo vệ.

Vụ việc cũng phơi bày tính liên kết của các giao thức DeFi hiện đại. Bắt đầu như một cuộc tấn công vào cầu nối của Kelp DAO, nhanh chóng lan rộng thành các cuộc khủng hoảng thanh khoản và nợ xấu trên nhiều nền tảng, cho thấy các lỗ hổng trong một giao thức có thể tạo ra rủi ro hệ thống toàn diện.

Phản ứng cộng đồng và tác động thị trường

Cộng đồng crypto đã phản ứng với lo ngại và tự vấn sau vụ hack. Cụm từ "DeFi đã chết" lan truyền trên các nền tảng mạng xã hội khi người dùng đối mặt với hậu quả của một vụ khai thác lớn khác. Giá Ethereum giảm xuống còn 2.300 đô la vào ngày 17 tháng 4 năm 2026, với các thị trường dự đoán tiếp tục biến động.

Vụ khai thác đã thúc đẩy các lời kêu gọi nâng cao các biện pháp an ninh, cải tiến thiết kế cầu nối và minh bạch hơn trong các giao thức DeFi. Các nhà tham gia ngành ngày càng nhận thức rằng cách tiếp cận hiện tại về khả năng tương tác chuỗi chéo có thể cần được xem xét lại căn bản để đạt tiêu chuẩn an ninh cần thiết cho việc chấp nhận rộng rãi.

Bài học và các cân nhắc trong tương lai

Vụ hack cầu nối Kelp DAO là một lời nhắc nhở rõ ràng về các rủi ro tiềm ẩn trong các giao thức DeFi chuỗi chéo. Một số bài học chính rút ra từ sự cố này:

Thứ nhất, tính phức tạp của các cầu nối chuỗi chéo tạo ra nhiều lỗ hổng mà các tác nhân tinh vi có thể khai thác. Mặc dù đã qua kiểm toán và đánh giá an ninh, sự tương tác giữa các mạng blockchain và các giao thức truyền tin mang lại các lỗ hổng có thể không rõ trong các đánh giá an ninh tiêu chuẩn.

Thứ hai, tính liên kết của các giao thức DeFi có nghĩa là các vụ khai thác có thể nhanh chóng lan rộng qua nhiều nền tảng, làm tăng thiệt hại vượt ra ngoài phạm vi ban đầu. Rủi ro hệ thống này đòi hỏi các cơ chế phản ứng phối hợp và cách ly tốt hơn giữa các giao thức.

Thứ ba, việc quy trách nhiệm cho hacker nhà nước cho thấy bối cảnh đe dọa ngày càng phát triển trong an ninh tiền điện tử. Các tác nhân quốc gia có nguồn lực lớn và kiên nhẫn đặt ra thách thức khác biệt so với hacker cá nhân hoặc nhóm tội phạm.

Thứ tư, tranh cãi giữa Kelp DAO và LayerZero nhấn mạnh sự cần thiết của các khung trách nhiệm rõ ràng hơn trong hạ tầng DeFi. Khi nhiều bên cùng góp phần vào an ninh của một giao thức, việc xác định trách nhiệm gặp nhiều khó khăn và có thể làm chậm phản ứng và phục hồi hiệu quả.

Kết luận

Vụ hack cầu nối Kelp DAO đánh dấu một bước ngoặt quan trọng của ngành DeFi năm 2026. Với gần $300 triệu đô la bị đánh cắp và tác động lan rộng qua nhiều giao thức, sự cố này đã phơi bày các lỗ hổng nghiêm trọng trong hạ tầng chuỗi chéo và làm nổi bật khả năng tinh vi của các tác nhân đe dọa nhà nước. Khi ngành tiếp tục đối mặt với hậu quả, vụ tấn công này là một lời nhắc nhở mạnh mẽ rằng an ninh phải luôn là ưu tiên hàng đầu trong phát triển hệ thống tài chính phi tập trung. Con đường phía trước sẽ đòi hỏi không chỉ các cải tiến kỹ thuật mà còn những thay đổi căn bản trong cách ngành tiếp cận quản lý rủi ro, trách nhiệm và phối hợp giữa các giao thức.