#KelpDAOBridgeHacked ✨Hệ sinh thái DeFi đã trải qua bài kiểm tra căng thẳng lớn nhất trong năm với vụ tấn công cầu Kelp DAO vào thứ Bảy, ngày 18 tháng 4 năm 2026, lúc 17:35 UTC. Cầu chéo LayerZero của Kelp DAO đã bị lừa bằng một xác thực tin nhắn giả, và 116.500 rsETH — khoảng $292 triệu — đã bị rút sạch trong một chuỗi giao dịch duy nhất. Số tiền này chiếm khoảng 18% tổng cung rsETH là 630.000, và sự kiện xảy ra trong vòng 46 phút. Nhóm Kelp đã tạm dừng các hợp đồng với một multisig khẩn cấp vào 18:21 UTC, nhưng đến lúc đó, phần lớn số quỹ đã được chuyển đổi thành ETH qua các địa chỉ liên quan Tornado Cash.

🧐Kỹ thuật Tấn công
Lớp nhắn tin LayerZero xác thực một lệnh chuyển giả xuất phát từ chuỗi khác. Điều này kích hoạt chức năng lzReceive của cầu, cho phép thực hiện một hoạt động đúc tiền trái phép.
Kẻ tấn công đã lợi dụng một lỗ hổng xác minh để đúc 116.500 rsETH vào ví của mình, sau đó cố gắng đánh cắp thêm 40.000 rsETH trong hai lần cố gắng nữa; những cố gắng này đã bị ngăn chặn nhờ việc tạm dừng khẩn cấp của Kelp.

🧐Dòng chảy quỹ và khai thác đòn bẩy
Khoảng $250 triệu rsETH bị đánh cắp đã nhanh chóng chuyển đổi thành ETH. Dữ liệu trên chuỗi cho thấy kẻ tấn công đã vay 106.467 ETH (gần 250 triệu đô la).
Số quỹ này được sử dụng làm tài sản thế chấp trong Aave V3/V4, Compound V3, và Euler, tạo ra một vị thế nợ xấu vượt quá $236 triệu.

🧐Tài sản và chuỗi bị ảnh hưởng
Cầu bị rút sạch đã hỗ trợ dự trữ rsETH được đóng gói trên hơn 20 chuỗi, bao gồm Base, Arbitrum, Linea, Blast, và Scroll. Người nắm giữ rsETH trên các L2 hiện đang đối mặt với nguy cơ thiếu tài sản thế chấp.
Kelp đã tạm dừng các hợp đồng mainnet và L2; đã tuyên bố rằng quỹ người dùng không bị đánh cắp trực tiếp, nhưng việc mua lại cổ phần đã bị đình chỉ do thiếu hụt dự trữ.

🧐Phản ứng thị trường
Aave đã đóng băng các thị trường rsETH trong V3 và V4 trong vòng vài giờ. SparkLend và Fluid cũng đã thực hiện bước tương tự. Lido Finance đã ngừng các khoản gửi mới vào sản phẩm earnETH của mình. Ethena đã đóng các cầu OFT LayerZero trong 6 giờ như một biện pháp phòng ngừa.
Token AAVE đã mất khoảng 10% giá trị sau tin tức. Các dòng chảy rút khỏi rsETH trong tổng TVL đã thúc đẩy xu hướng "chạy đến an toàn" trong DeFi.

🧐Bối cảnh hệ thống
Đây trở thành vụ hack DeFi lớn nhất năm 2026, vượt qua vụ tấn công Drift Protocol vào ngày 1 tháng 4 (gần 285 triệu đô la). Các khoản lỗ từ các vụ hack và gian lận trong Quý 1 năm 2026 đã đạt tới $482 triệu.
Trên mạng xã hội, sự kiện này đã củng cố câu chuyện "restaking + cầu = mắt xích yếu nhất." Các cộng đồng Tây Ban Nha và Bồ Đào Nha đã chia sẻ sự ổn định của Bitcoin trong cùng khoảng thời gian như một ví dụ đối lập với tính dễ vỡ của DeFi.

🤔Kết luận và Triển vọng
Vụ tấn công KelpDAO một lần nữa chứng minh rằng tăng trưởng tiến bộ nhanh hơn an ninh. Trong ngắn hạn:
Thanh khoản rsETH sẽ tiếp tục co lại, làm tăng rủi ro giảm giá các phiên bản đóng gói trong L2.
Aave và các giao thức cho vay khác sẽ buộc phải dự trữ hoặc công bố kế hoạch bồi thường cho nợ xấu.
Các công ty kiểm toán và LayerZero sẽ phát hành các cập nhật khẩn cấp cho logic xác thực tin nhắn của họ.
Trong dài hạn, ngành công nghiệp sẽ bắt buộc các tiêu chuẩn như xác thực đa chữ ký, giám sát bất thường theo thời gian thực, và các quỹ bảo hiểm cho cầu chéo chuỗi. Ba vụ hack lớn vượt quá $590 triệu trong 18 ngày năm 2026 cho thấy rằng vốn đầu tư tổ chức có thể chuyển hướng tìm kiếm lợi nhuận cao sang các lĩnh vực được quản lý chặt chẽ hơn như ETF Bitcoin cho đến khi hạ tầng an ninh trưởng thành.

Bài học dành cho nhà đầu tư rõ ràng: không phải lợi nhuận, mà nơi và cách xác minh tài sản thế chấp mới quyết định. Vụ tấn công cầu Kelp DAO đã đi vào lịch sử như ví dụ rõ nét nhất về phương trình "sử dụng cao = rủi ro cao" trong DeFi.
#Gate13thAnniversaryLive
#CryptoCommunity
#CreatorCarnival
#GateSquare