KelpDAO lỗ hổng gây ra khủng hoảng niềm tin DeFi: TVL giảm 14 tỷ

Vào ngày 18 tháng 4 năm 2026, cầu chéo chuỗi rsETH dựa trên LayerZero của KelpDAO đã bị tấn công, kẻ tấn công trong khoảng 46 phút đã trộm được 116.500 rsETH, thiệt hại khoảng 292 triệu USD, trở thành sự kiện an toàn DeFi lớn nhất trong năm 2026 tính đến thời điểm đó. Bản chất của vụ tấn công này không phải là lỗ hổng trong mã hợp đồng thông minh truyền thống, mà là sự thất bại hệ thống của mô hình tin cậy chéo chuỗi. KelpDAO sử dụng giải pháp cầu OFT của LayerZero, dựa vào DVN để xác thực phi tập trung. Tuy nhiên, KelpDAO đã cấu hình kiến trúc DVN với 1/1 – chỉ cần một nút ký để xác nhận tin nhắn chéo chuỗi là “thật”, trong khi tài liệu chính thức của LayerZero khuyến nghị cấu hình đa chữ ký 2/2. Kẻ tấn công đã qua mặt nút đơn này bằng phương pháp xã hội, giả mạo tin nhắn chéo chuỗi để “đúc tiền từ hư vô”, phát hành rsETH không có tài sản hỗ trợ trên mạng chính Ethereum.

Trong cuộc điều tra sau đó, LayerZero sơ bộ quy nguyên nhân tấn công cho nhánh TraderTraitor của nhóm Lazarus của Triều Tiên, chỉ ra rằng kẻ tấn công đã làm nhiễu các nút RPC của DVN phía dưới và phối hợp tấn công từ chối dịch vụ (DDoS) để gây ra chuyển đổi lỗi, khiến các nút xác thực xác nhận “giao dịch chưa xảy ra” rồi giả mạo tin nhắn. Con đường công nghệ này hé lộ một vấn đề cấu trúc sâu hơn: khi an toàn của cầu chéo chuỗi hoàn toàn phụ thuộc vào một nút xác thực duy nhất, nút đó trở thành điểm yếu chí tử của toàn bộ hệ thống.

RsETH bị trộm đã truyền dẫn như thế nào đến Aave tạo ra khoản nợ xấu khổng lồ

Kẻ tấn công đã dùng rsETH đúc từ hư vô làm tài sản thế chấp gửi vào các nền tảng vay mượn như Aave rồi vay rút tài sản thật. Vì những rsETH này thiếu sự đảm bảo hợp pháp về tài sản, việc vay mượn dựa trên chúng tương đương với việc tạo ra rủi ro nợ xấu tiềm tàng cho bên cho vay. Theo phân tích trên chuỗi, trên các Layer 2 của Aave, theo giá hiện tại của các nguồn dữ liệu, có khoảng 359 triệu USD rsETH làm tài sản thế chấp. Nếu các vị thế này vận hành với đòn bẩy tối đa, quy mô nợ xấu có thể lên tới khoảng 341 triệu USD, và hoàn toàn không được bảo vệ bởi giao thức Umbrella.

Đây không phải là lỗi trong mã hợp đồng của Aave, mà là phản ứng dây chuyền hệ thống do “tin tưởng sai về tài sản thế chấp”. Sau khi kẻ tấn công đưa token không có tài sản thế chấp vào bể vay, tất cả người dùng dựa vào quỹ của bể này đều đối mặt với rủi ro thanh toán tiềm tàng. Tính chất ghép nối của DeFi đã đóng vai trò như một con dao hai lưỡi: nó mang lại hiệu quả vốn liếng liền mạch giữa các giao thức, nhưng cũng khiến một sự cố mất niềm tin ở một chỗ có thể truyền dẫn nhanh chóng toàn bộ hệ sinh thái.

Làm thế nào để hoảng loạn vốn dẫn đến giảm TVL 140 tỷ USD đột ngột

Hoảng loạn nhanh chóng chuyển thành rút vốn quy mô lớn. Theo dữ liệu của DefiLlama, trong 48 giờ qua, tổng TVL của DeFi đã giảm từ 99,497 tỷ USD xuống còn 86,286 tỷ USD, mất khoảng 13,2 tỷ USD; trong đó, Aave đã bị rút 8,45 tỷ USD, TVL giảm còn 17,947 tỷ USD. Tính đến ngày 20 tháng 4, TVL của DeFi tiếp tục giảm xuống còn khoảng 82,4 tỷ USD, thấp hơn mức khoảng 110 tỷ USD đầu năm 2026 khoảng 25%.

Làn sóng rút vốn tập trung vào các giao thức vay mượn, tái thế chấp thanh khoản và các giao thức lợi nhuận, với TVL của các nền tảng như Euler, Sentora đều giảm hai chữ số phần trăm. Tuy nhiên, điều thú vị là giá token phản ứng khá nhẹ nhàng: AAVE trong 24 giờ qua chỉ giảm khoảng 2,5%, UNI và LINK giảm chưa đến 1%. Sự chênh lệch giữa dòng tiền và giá này cho thấy thị trường hiện tại vẫn chưa định giá đầy đủ tác động dài hạn của sự kiện — việc rút vốn phản ánh tâm lý hoảng loạn thanh khoản, còn các nhà nắm giữ token có thể vẫn đang chờ đợi các phương án xử lý nợ xấu rõ ràng.

Ủy ban an toàn của Arbitrum đóng băng 71 triệu USD gửi đi tín hiệu gì

Vào ngày 21 tháng 4 năm 2026, Ủy ban an toàn của Arbitrum đã hành động khẩn cấp, chuyển 30.766 ETH của kẻ tấn công sang ví trung gian do quản trị kiểm soát và phong tỏa, trị giá khoảng 71 triệu USD, thu hồi khoảng một phần tư tổng số bị trộm. Hành động này được thực hiện qua giao dịch hệ thống ArbitrumUnsignedTxType, một dạng giao dịch hệ thống không thể ký bằng ví EOA thông thường, chỉ có thể do ủy ban an toàn thông qua ArbOS tiêm vào.

Sự can thiệp này gửi đi hai tín hiệu quan trọng. Thứ nhất, khả năng can thiệp khẩn cấp của quản trị Layer 2 đã được xác nhận trong thực tế, đánh dấu một mốc quan trọng trong lộ trình mở rộng Layer 2. Thứ hai, các biện pháp can thiệp quản trị như vậy đối với quỹ người dùng trong hệ sinh thái chuỗi là cực kỳ hiếm và gây tranh cãi, vì chúng mang tính quyết đoán trong một mạng lưới vốn không cần phép tắc. Arbitrum nhấn mạnh rằng hành động này dựa trên thông tin xác nhận danh tính của cơ quan thực thi pháp luật về kẻ tấn công, và không ảnh hưởng đến các người dùng hoặc ứng dụng khác. Tuy nhiên, tiền lệ này cũng đặt ra câu hỏi sâu hơn: khi “không cần phép tắc” gặp phải “kẻ tấn công cấp quốc gia”, ranh giới quản trị của mạng phi tập trung nên được vạch ra ở đâu.

Tại sao mô hình vay không cách ly lại bị người sáng lập Curve cảnh báo công khai về những rủi ro

Michael Egorov, sáng lập của Curve Finance, sau sự kiện đã công khai viết rằng, vấn đề nợ xấu do KelpDAO gây ra đã làm nổi bật rủi ro tiềm tàng của mô hình “vay không cách ly” hiện tại. Ông cho biết, mô hình này dù có khả năng mở rộng cao, nhưng đi kèm rủi ro lớn, cần có khung quản lý tài sản chặt chẽ hơn. Egorov còn nhấn mạnh rằng, phần lớn các sự cố an toàn có thể tránh được gần đây đều bắt nguồn từ lỗi trung tâm đơn điểm, và vấn đề cần được phòng ngừa từ trước chứ không thể sửa chữa sau. Ông kêu gọi các tổ chức như Ethereum Foundation, Solana Foundation dẫn dắt xây dựng tiêu chuẩn an toàn chung cho DeFi.

Egorov đặc biệt đề xuất các mô hình vay hoàn toàn cách ly hoặc kết hợp, và cho rằng kiến trúc “hub and spoke” của Aave v4 có thể thúc đẩy mô hình vay hướng tới mức độ an toàn cao hơn. Nhận định này chạm đúng vào mâu thuẫn cốt lõi của DeFi lâu nay: giữa hiệu quả vốn và cách ly rủi ro. Mô hình không cách ly cho phép dòng vốn tự do giữa các giao thức, nâng cao hiệu quả tổng thể, nhưng cũng khiến khủng hoảng niềm tin vào một tài sản có thể nhanh chóng lan truyền toàn bộ mạng lưới vay mượn. Phê phán của Egorov thực chất là đặt câu hỏi: DeFi đã đến điểm phải hy sinh một phần hiệu quả để đổi lấy sự ổn định hệ thống chưa?

Ba con đường xử lý nợ xấu của Aave và cái giá cấu trúc của chúng

Người sáng lập DeFiLlama, 0xngmi, đã phân tích ba phương án xử lý khả thi của KelpDAO, mỗi phương án đều đi kèm với các đánh đổi rõ ràng về chi phí.

Phương án 1 là phân tán thiệt hại, giảm tất cả số dư rsETH của người dùng theo tỷ lệ 18,5% để hấp thụ tổn thất. Nếu áp dụng cho toàn bộ tài sản thế chấp rsETH của Aave, ước tính gây ra khoản nợ xấu khoảng 216 triệu USD, trong đó có 55 triệu USD được bảo hiểm bởi giao thức Umbrella, 85 triệu USD do kho bạc Aave gánh chịu, còn thiếu khoảng 76 triệu USD. Phương án này có ý nghĩa phân tán thiệt hại cho tất cả người dùng, nhưng sẽ làm xói mòn niềm tin vào an toàn của tài sản trong hệ thống.

Phương án 2 chỉ bảo vệ rsETH trên mạng chính Ethereum, coi rsETH trên Layer 2 là vô giá trị. Các tài sản thế chấp rsETH trên các Layer 2 của Aave theo giá hiện tại khoảng 359 triệu USD. Nếu vận hành với đòn bẩy tối đa, nợ xấu có thể lên tới khoảng 341 triệu USD, và không nằm trong phạm vi bảo hiểm của Umbrella. Lúc đó, Aave chỉ còn trông chờ vào kho bạc hoặc các khoản vay để cứu vãn phần nào thị trường, có thể phải bỏ rơi các chuỗi bị tổn thương nặng nhất như Arbitrum, Mantle, Base, dẫn đến sụp đổ các thị trường này. Phương án này giảm thiểu tác động trực tiếp đến mạng chính của Aave, nhưng đổi lại là tổn thất lớn về uy tín của toàn bộ hệ sinh thái Layer 2.

Phương án 3 là khôi phục phân bổ tài sản theo ảnh chụp nhanh trước khi tấn công, hoàn trả toàn bộ cho các địa chỉ nắm giữ rsETH tại thời điểm đó, còn những người mua hoặc chuyển nhượng sau đó tự chịu thiệt hại. Phương án này sau khi có bảo hiểm của Umbrella vẫn còn thiệt hại khoảng 91 triệu USD, nhưng vấn đề là sau vụ tấn công, dòng tiền luân chuyển rất lớn, các hợp đồng DeFi vốn là các bể thanh khoản, về mặt kỹ thuật gần như không thể phân biệt rõ các khoản gửi vào theo từng đợt, nên khó thực thi.

Tại sao tháng 4 năm 2026 trở thành bước ngoặt trong an toàn DeFi

Sự kiện của KelpDAO không phải là tai nạn an toàn đơn lẻ. Trong vòng 20 ngày đầu tháng 4, các giao thức tiền mã hóa đã thiệt hại hơn 606 triệu USD do hacker tấn công, trở thành tháng thảm họa nhất kể từ tháng 2 năm 2025. Ngày 1 tháng 4, sàn giao dịch hợp đồng vĩnh viễn lớn nhất của Solana, Drift Protocol, bị trộm 285 triệu USD trong vòng 12 phút. Hai vụ này chiếm khoảng 95% tổng thiệt hại trong tháng.

Dữ liệu từ báo cáo an toàn của SlowMist năm 2025 cung cấp một cái nhìn dài hạn hơn: trong cả năm 2025, đã xảy ra 200 vụ an toàn, thiệt hại khoảng 2,935 tỷ USD. Dù số vụ giảm 51% so với 2024, nhưng thiệt hại lại tăng khoảng 46%. Các dự án DeFi là mục tiêu bị tấn công nhiều nhất, chiếm khoảng 63% số vụ, gây thiệt hại khoảng 649 triệu USD.

Kết nối các dữ liệu này, rõ ràng một xu hướng nổi lên: mục tiêu của hacker đang chuyển từ “số lượng” sang “chất lượng” — ít vụ hơn, thiệt hại lớn hơn, thủ đoạn phức tạp hơn. Trong sự kiện của KelpDAO, kẻ tấn công không khai thác lỗ hổng mã, mà là sai lệch trong giả định về cấu hình tin cậy, điều này cho thấy cấp độ tấn công đã nâng lên, nghĩa là các cuộc kiểm tra an toàn truyền thống đã không còn đủ để đối phó với các mối đe dọa hiện tại.

Tóm lại

Sự kiện lỗ hổng chéo chuỗi của KelpDAO là một trong những cú sốc mang tính biểu tượng nhất trong lĩnh vực an toàn DeFi năm 2026. Nó phơi bày điểm yếu chí tử của kiến trúc xác thực điểm đơn trong mô hình tin cậy chéo chuỗi, thể hiện cách khủng hoảng tài sản có thể lan truyền nhanh trong hệ sinh thái ghép nối của DeFi, và qua khoản nợ xấu của Aave, chuyển tải rủi ro sang toàn bộ thị trường vay mượn. Ủy ban an toàn của Arbitrum đã có hành động can thiệp khẩn cấp để thu hồi phần nào tài sản bị trộm, nhưng cũng mở ra cuộc tranh luận sâu về giới hạn quản trị phi tập trung.

Cảnh báo của Egorov về mô hình vay không cách ly và kêu gọi tiêu chuẩn an toàn chung cho ngành phản ánh rằng DeFi đang bước vào giai đoạn suy nghĩ lại về cấu trúc. Hiện tượng này cho thấy, giữa hiệu quả vốn và an toàn hệ thống, mâu thuẫn chưa từng rõ ràng đến thế — những lỗ hổng “có thể tránh được” trong vài năm qua đang trở thành tín hiệu cảnh báo rõ ràng: nếu không xây dựng cơ chế cách ly rủi ro hệ thống, mỗi lần lỗ hổng đều có thể tiếp tục xói mòn niềm tin dài hạn của ngành.