Một nền tảng restaking, Kelp, đã bị hack với thiệt hại lên tới gần 293 triệu USD, tiếp tục nối dài chuỗi sự cố bảo mật trong DeFi.
Vụ việc không chỉ phản ánh lỗ hổng kỹ thuật riêng lẻ, mà còn đặt ra câu hỏi lớn hơn về mức độ an toàn của toàn bộ hệ sinh thái restaking – nơi rủi ro đang ngày càng mang tính hệ thống.
Nội dung bài viết
Kelp bị hack – lỗ hổng trong cơ chế restaking
Một vụ tấn công quy mô lớn đã nhắm vào KelpDAO, một nền tảng restaking trong hệ sinh thái Ethereum (ETH). Theo các nhà phân tích on-chain, lỗ hổng xuất phát từ cơ chế minting của token rsETH. Tại đây, kẻ tấn công có thể tạo ra tài sản không đủ thế chấp, từ đó gây ra khoản “bad debt” trên các giao thức liên quan như Aave.
Tổng thiệt hại ước tính lên tới hơn 280 – 293 triệu USD, khiến đây trở thành một trong những vụ hack tiền điện tử lớn nhất gần đây. Không chỉ riêng Kelp, tác động lan sang các giao thức khác, kéo theo biến động giá và thanh khoản, trong đó token AAVE từng giảm mạnh sau sự kiện.
Điều đáng chú ý là KelpDAO chưa ngay lập tức xác nhận toàn bộ chi tiết vụ việc, trong khi các ví của hacker đã được theo dõi nhưng chưa rõ khả năng thu hồi tài sản. Về bản chất, đây không phải là một “vụ hack tiền điện tử đơn giản”, mà là lỗi trong logic tài chính. Với lỗi đó, một tài sản phái sinh (rsETH) bị định giá sai hoặc được mint vượt giá trị thực.
Restaking: Lợi nhuận cao đi kèm rủi ro chồng lớp
Restaking được quảng bá như bước tiến mới của DeFi, cho phép tận dụng cùng một tài sản staking để tạo thêm lợi nhuận ở nhiều lớp khác nhau. Không chỉ Kelp, nhiều giao thức restaking khác cũng khá phổ biến hiện nay như Solayer hay EigenLayer… Tuy nhiên, chính cơ chế này cũng tạo ra rủi ro “chồng lớp” (layered risk).
Khi một token như rsETH được sử dụng làm tài sản thế chấp ở nhiều giao thức, chỉ cần một mắt xích gặp sự cố, toàn bộ hệ thống phía sau có thể bị ảnh hưởng. Đây là dạng rủi ro không còn nằm ở một protocol, mà lan rộng toàn hệ sinh thái.
Vụ Kelp bị hack là ví dụ rõ ràng: Lỗi ở một cơ chế mint → tạo bad debt → ảnh hưởng lending → kéo theo biến động thị trường.
DeFi đang trở nên “giống TradFi hơn bao giờ hết”
Một trong những nghịch lý lớn là DeFi đang dần lặp lại chính những vấn đề mà nó muốn thay thế. Tài sản phái sinh (rsETH), đòn bẩy gián tiếp, liên kết chéo giữa các giao thức… Những yếu tố này khiến hệ thống trở nên phức tạp và khó kiểm soát hơn rất nhiều. Trong khi đó, người dùng cuối gần như không thể hiểu hết rủi ro thực sự mình đang chịu.
Nói cách khác, DeFi đang tiến gần đến một hệ thống tài chính “black box” – nơi mọi thứ hoạt động trơn tru… cho đến khi nó sụp đổ.
Điểm đáng lo nhất không phải là việc bị hack, mà là loại hack. Trong nhiều năm trước, các vụ tấn công thường đến từ lỗi code (bug). Nhưng hiện tại, ngày càng nhiều vụ hack tiền điện tử xuất phát từ lỗi thiết kế (design flaw): định giá sai tài sản, logic mint sai, giả định thanh khoản sai…
Những lỗi này khó phát hiện hơn rất nhiều, vì code vẫn “chạy đúng”, nhưng mô hình tài chính bên dưới lại sai. Việc Kelp bị hack không phải trường hợp duy nhất. Các vụ việc gần đây cho thấy xu hướng rõ ràng rằng DeFi không còn bị hack vì “viết sai code” mà vì “thiết kế sai hệ thống”.
Chuỗi hack gần đây: không còn là sự cố riêng lẻ
Vụ Kelp bị hack không phải là trường hợp duy nhất trong thị trường này. Chỉ trong thời gian ngắn trước đó, một nền tảng như Drift cũng bị hack hơn 270 triệu USD. Nhiều giao thức nhỏ hơn cũng liên tục bị tấn công.
Điều này cho thấy một mô thức khá rõ ràng rằng quy mô hack ngày càng lớn, tần suất ngày càng dày và lan rộng nhiều chuỗi khác nhau. Không còn là “black swan”, mà đang trở thành một sự kiện “bình thường”.
Tóm lại, vụ Kelp bị hack không chỉ là một sự cố bảo mật, mà là tín hiệu cho thấy DeFi đang bước vào một giai đoạn mới – nơi rủi ro không còn nằm ở từng dự án riêng lẻ, mà mang tính hệ thống. Restaking, về lý thuyết, giúp tối ưu vốn. Nhưng trên thực tế, nó đang biến hệ sinh thái thành một mạng lưới phụ thuộc lẫn nhau, nơi một lỗi nhỏ có thể khuếch đại thành sự cố lớn.
Nếu không có những cải tiến mạnh về thiết kế và quản trị rủi ro, câu hỏi không còn là: “Liệu sẽ có vụ hack tiếp theo không?” mà là “Vụ tiếp theo sẽ lớn đến mức nào?”
Linh Bùi là một nhà sáng tạo nội dung, chuyên gia nghiên cứu trong lĩnh vực tài chính nói chung và tiền điện tử nói riêng. Với mong muốn chia sẻ các tuyến bài viết chuyên về kiến thức, cập nhật tin tức về thị trường tài chính tại Việt Nam và trên toàn cầu, Linh Bùi đã và đang tham gia với vai trò biên tập viên/người sáng tạo nội dung tại một số nền tảng, sàn giao dịch như Fiahub, BeInCrypto, Mitrade, Finixio, Dr.Localize… Trong mỗi bài viết của mình, Linh Bùi đều mong muốn đơn giản hóa các khái niệm tài chính liên quan, giảm thiểu rào cản gia nhập cho độc giả, đặc biệt là những người mới tham gia.
