Thị trường tài chính phi tập trung vừa trải qua một trong những tuần đen tối nhất lịch sử. Vụ tấn công vào giao thức Liquid Restaking KelpDAO không chỉ gây thiệt hại 293 triệu USD mà còn kích hoạt một chuỗi hệ lụy kinh hoàng, đẩy “ông lớn” Aave vào tình trạng thắt chặt thanh khoản nghiêm trọng.
Nội dung bài viết
Lỗ hổng từ cầu nối: Kịch bản cũ, nạn nhân mới
Vào ngày 18/04/2026, hacker đã tấn công vào cầu nối LayerZero của KelpDAO, rút cạn 116.500 token rsETH (tương đương 18% tổng cung lưu hành). KelpDAO, giao thức vốn đang quản lý 1,5 tỷ USD tài sản, đã lập tức đình chỉ mọi hoạt động quản trị, nạp rút và các oracle trên cả Mainnet lẫn Layer-2.
Nguyên nhân ban đầu được xác định nằm ở việc triển khai DVN (Decentralized Verifier Network) của LayerZero. Đáng chú ý, cộng đồng đã phát hiện ra các cảnh báo về lỗ hổng “1/1 DVN” (chỉ sử dụng duy nhất một đơn vị xác thực cho cầu nối trị giá hàng trăm triệu USD) từ 15 tháng trước nhưng đã bị giao thức ngó lơ. Điều này dấy lên nghi vấn về một vụ đánh cắp nội bộ do sự lỏng lẻo khó tin trong khâu bảo mật.
Aave vô tình bị liên luỵ
Kẻ tấn công không dừng lại ở việc đánh cắp token. Chúng đã sử dụng số rsETH phi pháp này làm tài sản thế chấp trên Aave để vay ra khoảng 236 triệu USD dưới dạng WETH và các tài sản khác. Hệ quả khiến Aave bị bỏ lại với khoản nợ xấu ước tính từ 177 đến 200 triệu USD không có tài sản đảm bảo thực tế.
Không dừng lại ở đó, làn sóng tháo chạy bao trùm, người dùng đã rút hơn 54 tỷ USD (tổng tài sản luân chuyển) khỏi các thị trường thanh khoản. Tổng giá trị bị khóa của Aave sụt giảm mạnh từ 26 tỷ USD xuống còn 18 tỷ USD chỉ trong 48 giờ.
Justin Sun lên tiếng
Nhà sáng lập TRON, Justin Sun, đã công khai kêu gọi hacker thực hiện một thỏa thuận để ngừng gây thêm tổn thương cho hệ sinh thái. Sun thẳng thắn chia sẻ: “Dù sao bạn cũng không thể tiêu hết 300 triệu USD đâu”, ám chỉ việc rửa một lượng tiền khổng lồ như vậy trong môi trường blockchain bị giám sát chặt chẽ hiện nay là bất khả thi.
Dữ liệu cho thấy Justin Sun đã nỗ lực hỗ trợ thu hồi khoảng 65.584 ETH (tương đương 154 triệu USD). Dù vậy, niềm tin của nhà đầu tư vẫn lung lay dữ dội khi hơn 32 triệu USD token AAVE đã được đẩy lên các sàn giao dịch tập trung để sẵn sàng bán tháo.
Nghi phạm Lazarus Group
Các nhà phân tích bảo mật đã liên kết vụ việc này với nhóm hacker Lazarus từ Triều Tiên (UNC4736). Phương thức tấn công tương tự như vụ hack Drift Protocol (285 triệu USD) hồi đầu tháng 4, nơi hacker sử dụng kỹ thuật mạng xã hội tinh vi để xâm nhập vào các kênh Telegram nội bộ và cài cắm mã độc trong suốt 6 tháng.
Sự kiện KelpDAO và Aave là một lời cảnh báo đanh thép rằng: ngay cả những giao thức được xem là pháo đài của DeFi vẫn có thể bị quật ngã bởi các lỗ hổng từ cầu nối cross-chain. Mặc dù các mô-đun an toàn của Aave đang được kích hoạt để xử lý nợ xấu, nhưng sẽ cần rất lâu để lấy lại niềm tin của cộng đồng. Đây là lúc các nhà phát triển phải ưu tiên bảo mật cầu nối lên hàng đầu thay vì chỉ tập trung vào việc mở rộng thanh khoản.
Quang Ngo là một tech content creator với nền tảng về Data Science và AI. Bắt đầu tìm hiểu về công nghệ blockchain và tiền điện tử từ 2022, hiện Quang Ngo nghiên cứu về một số ứng dụng của blockchain trong mảng dữ liệu tài chính và mua sắm, đồng thời đảm nhận biên soạn các bài viết chia sẻ kiến thức về các kỹ thuật và công nghệ trong blockchain, cũng như cập nhật các thông tin HOT trên thị trường dưới góc nhìn của một người am hiểu về tiền điện tử và blockchain
