Loading prices...
Viết bởi
Shawn
Kelp DAO bị hack 293 triệu USD qua cầu nối LayerZero khiến Aave chịu nợ xấu lớn, TVL bốc hơi gần 8 tỷ USD và thị trường DeFi đối mặt với khủng hoảng thanh khoản.
Thị trường DeFi vừa chứng kiến một trong những cú sốc lớn sau vụ Drift Protocol bị hack 285 triệu USD kể từ đầu năm, khi Kelp DAO bị tấn công và mất gần 293 triệu USD chỉ trong vài phút. Đây không chỉ là một vụ hack thông thường, mà là sự kiện tạo hiệu ứng domino lan rộng sang toàn bộ hệ sinh thái lending, đặc biệt là Aave.
Tâm điểm của vụ việc là token rsETH tài sản liquid restaking của Kelp DAO. Hacker đã rút sạch 116.500 rsETH từ cầu nối cross-chain, tương đương khoảng 18% tổng cung lưu hành. Con số này ngay lập tức biến vụ việc trở thành vụ exploit DeFi lớn nhất năm 2026 tính đến hiện tại.
Điều đáng nói là hacker không tấn công trực tiếp vào smart contract cốt lõi của Kelp DAO. Thay vào đó, điểm yếu nằm ở cây cầu cross-chain được xây dựng trên hạ tầng của LayerZero.
Theo phân tích ban đầu, kẻ tấn công đã lợi dụng cấu hình bảo mật quá lỏng của DVN (Decentralized Verifier Network). Trong khi phần lớn dự án yêu cầu nhiều validator hoặc multisig phức tạp để xác thực giao dịch bridge, Kelp DAO bị cho là chỉ cần một private key xác thực là đủ để phê duyệt việc rút tiền.
Chính lỗ hổng này cho phép hacker giả mạo một thông điệp cross-chain hợp lệ, gọi trực tiếp hàm lzReceive, rồi mint hoặc rút ra toàn bộ 116.500 rsETH gần như không gặp kháng cự nào.
Main drain transaction được cộng đồng theo dõi là: 0x1ae232da212c45f35c1525f851e4c41d529bf18af862d9ce9fd40bf709db4222. Toàn bộ sự việc diễn ra nhanh đến mức đội ngũ Kelp chỉ kịp phản ứng sau khoảng 45–46 phút.
Thông thường hacker sẽ dump token ra thị trường để lấy stablecoin hoặc ETH. Nhưng lần này, hacker chọn một con đường tinh vi hơn: dùng toàn bộ rsETH vừa chiếm được làm tài sản thế chấp trên Aave V3 cùng nhiều lending protocol khác như Compound, Euler, SparkLend và Fluid.
Từ lượng collateral này, hacker vay ra hơn 106.000 ETH, tương đương khoảng 236 triệu USD WETH. Vấn đề ở đây là rsETH được dùng làm thế chấp thực chất đã không còn backing hợp lệ. Nó trở thành collateral “rỗng”, không thể thanh lý hiệu quả. Nhưng lượng ETH vay ra lại hoàn toàn là tài sản thật.
Nói cách khác, hacker đã biến một token bridge lỗi thành tiền thật, và để lại toàn bộ rủi ro cho các giao thức lending.
Dù không phải mục tiêu ban đầu, Aave lại là nơi chịu hậu quả nặng nề nhất. Các ước tính từ Lookonchain và nhiều nền tảng phân tích cho thấy Aave đang phải đối mặt với khoảng 170–280 triệu USD bad debt, phổ biến nhất là vùng quanh 195 triệu USD.
Chỉ trong vòng chưa đầy 48 giờ, TVL của Aave giảm mạnh từ khoảng 26,4 tỷ USD xuống còn 18,6 tỷ USD. Gần 8 tỷ USD đã bị rút khỏi giao thức khi người dùng bắt đầu hoảng loạn. Các pool USDT và USDC trên Aave V3 nhanh chóng đạt mức utilization 100%, nghĩa là người dùng gần như không thể rút stablecoin vì toàn bộ thanh khoản đã bị khóa trong các khoản vay.
Đây chính là khoảnh khắc thị trường nhận ra rằng một vụ hack bridge có thể nhanh chóng biến thành khủng hoảng thanh khoản toàn hệ thống.
Sự hoảng loạn không chỉ diễn ra ở cấp độ protocol mà còn lan sang hành vi của các whale. Dữ liệu on-chain cho thấy nhiều ví lớn bắt đầu rút tài sản khỏi Aave ngay sau khi vụ việc nổ ra. Trong đó đáng chú ý nhất là Justin Sun khi rút hơn 65.584 ETH, trị giá khoảng 154 triệu USD, khỏi Aave để chuyển sang SparkLend.
Sàn MEXC và quỹ Abraxas Capital cũng rút hàng trăm triệu USD thanh khoản. Token AAVE phản ứng gần như ngay lập tức, giảm từ vùng 112 USD xuống dưới 90 USD chỉ trong hơn một ngày, có thời điểm mất gần 20%.
Trong khi đó, token ZRO của LayerZero cũng lao dốc hơn 20% khi thị trường xác định nguyên nhân gốc của vụ việc đến từ hệ thống bridge liên quan đến LayerZero.
Không chỉ Aave, hàng loạt giao thức liên quan đến rsETH và LayerZero đều phải hành động khẩn cấp. Curve, Ethena, Lido, BitGo Wrapped Bitcoin và ít nhất 9 protocol lending khác đã tạm dừng các market liên quan đến rsETH để tránh lây lan rủi ro.
Aave đóng băng rsETH market trên cả V3 và V4, đồng thời freeze cả WETH reserves trên Ethereum, Arbitrum, Base, Mantle và Linea. Đây được xem là lần stress test thực tế đầu tiên của mô hình bảo hiểm Umbrella mà Aave triển khai từ năm 2025 cơ chế được thiết kế để xử lý bad debt tự động khi xảy ra khủng hoảng.
Một chi tiết khiến cộng đồng tiếp tục lo lắng là hacker chưa thực hiện bán tháo toàn bộ số ETH đã vay được. Theo các tracker on-chain, phần lớn tài sản vẫn đang nằm trong ví với giá trị hơn 260 triệu USD ETH. Điều này làm dấy lên nhiều giả thuyết.
Một số người tin rằng đây có thể là state actor hoặc nhóm hacker chuyên nghiệp đang chờ thời điểm thích hợp để rửa tiền. Một số khác cho rằng hacker đang đợi cơ hội đàm phán. Thậm chí Justin Sun còn công khai đăng thông điệp muốn thương lượng trực tiếp với hacker với hàm ý: “Bạn muốn bao nhiêu để trả lại tiền?”
Điều đó cho thấy thị trường hiểu rất rõ: nếu hacker tiếp tục xả lượng ETH này, áp lực lên Aave và toàn bộ DeFi sẽ còn nghiêm trọng hơn nhiều.
LayerZero cho biết vụ exploit khiến KelpDAO mất khoảng 290 triệu USD đã được điều tra sơ bộ và có dấu hiệu liên quan đến Lazarus Group – nhóm hacker khét tiếng bị cho là có liên hệ với Triều Tiên, còn được biết đến dưới tên chiến dịch TraderTraitor.
Hiểu đơn giản, attacker đã làm nhiễm độc nguồn dữ liệu mà DVN dùng để xác minh giao dịch. Sau đó, kết hợp với một đợt DDoS quy mô lớn, hệ thống buộc phải failover sang các RPC bị kiểm soát. Kết quả là DVN xác nhận những giao dịch chưa từng thực sự xảy ra trên chain, từ đó cho phép hacker rút ra toàn bộ 116.500 rsETH mà không cần phá vỡ private key hay exploit protocol logic.
Vấn đề cốt lõi nằm ở chỗ KelpDAO sử dụng cấu hình 1/1 DVN, tức chỉ cần một verifier duy nhất để xác thực bridge transaction. Điều này tạo ra một “single point of failure” cực kỳ nguy hiểm. Chỉ cần verifier đó bị đánh lừa hoặc dữ liệu đầu vào bị thao túng, toàn bộ hệ thống bridge gần như mất khả năng phòng thủ.
LayerZero cho biết nếu KelpDAO sử dụng mô hình nhiều verifier như phần lớn các protocol khác, thiệt hại có thể đã được ngăn chặn hoặc giảm đáng kể. Đây cũng là lý do cộng đồng bắt đầu chuyển trọng tâm từ việc đổ lỗi cho LayerZero sang câu hỏi lớn hơn: vì sao một protocol quản lý hàng tỷ USD TVL lại chấp nhận mô hình bảo mật mong manh như vậy.
Từ Drift Protocol đến Kelp DAO, tháng 4/2026 đang trở thành một trong những giai đoạn hỗn loạn nhất của DeFi trong nhiều năm trở lại đây. Kelp DAO mất 293 triệu USD, nhưng cú đau thực sự có thể nằm ở Aave nơi niềm tin thị trường bị thử thách mạnh nhất.
Đây không chỉ là một vụ hack, mà là lời cảnh báo rõ ràng rằng trong DeFi, rủi ro không bao giờ đứng riêng lẻ. Một cây cầu yếu có thể kéo sập cả hệ thống phía sau nó.
Lưu ý: Nội dung bài viết nhằm mục đích cung cấp thông tin và kiến thức tổng hợp từ các nguồn công khai về dự án. Đây không phải là khuyến nghị đầu tư. Blockintosh không chịu trách nhiệm đối với bất kỳ quyết định tài chính hay rủi ro nào phát sinh từ việc sử dụng thông tin trong bài viết.
Xem thêm: CAEX là gì? Sàn giao dịch tài sản mã hóa đầu tiên xin cấp phép tại Việt Nam
Nhà báo crypto dày dạn kinh nghiệm với chuyên môn về công nghệ blockchain, DeFi và phân tích thị trường. Đam mê làm cho các chủ đề crypto phức tạp trở nên dễ tiếp cận với mọi người.
