# DeFiSecurity

#KelpDAOBridgeHacked
Lỗ hổng Cầu KelpDAO: Phân tích kỹ thuật & Tác động ngành
Vào ngày 18 tháng 4 năm 2026, cầu chéo chuỗi rsETH của KelpDAO đã gặp phải vụ khai thác DeFi lớn nhất năm 2026, với kẻ tấn công rút sạch khoảng 116.500 rsETH trị giá khoảng $292 triệu đô la. Sự cố này chiếm khoảng 18% tổng cung lưu hành của rsETH và đã gây ra các tác động dây chuyền trên toàn hệ sinh thái DeFi.
Phân tích Đường tấn công
Lỗ hổng được thực hiện thông qua một cuộc tấn công đa giai đoạn tinh vi nhằm vào hạ tầng của LayerZero. Kẻ tấn công đầu tiên đã xâm nhập hai nút RPC độc lập do LayerZero Labs vận hành, thay thế các tệp nhị phân op-geth hợp pháp bằng các phiên bản độc hại. Các nút bị nhiễm này được cấu hình đặc biệt để lừa đảo Mạng xác minh phi tập trung của LayerZero (DVN) trong khi vẫn giữ phản hồi trung thực cho các hệ thống giám sát khác, qua đó tránh bị phát hiện.
Chuỗi tấn công bao gồm một cuộc tấn công từ chối dịch vụ phân tán (DDoS) phối hợp nhằm vào một nút RPC sạch thứ ba, buộc DVN phải chuyển sang hạ tầng bị nhiễm. Cấu hình cầu của KelpDAO sử dụng thiết lập DVN 1-đến-1, nghĩa là chỉ cần DVN của LayerZero Labs để xác thực các tin nhắn chéo chuỗi. Các nút bị nhiễm đã thành công xác nhận một giao dịch đốt giả mạo trên Unichain, hệ thống chuyển tiếp EndpointV2 đã truyền tải đến Bộ điều hợp OFT của KelpDAO, kích hoạt việc phát hành trái phép dự trữ trên mainnet.
Sau khi khai thác, kẻ tấn công đã rửa tiền rsETH bị đánh cắp qua nhiều ví, gửi tiền làm tài sản thế chấp trên các thị trường Aave V3 trên Ethereum và Arbitrum. Kẻ tấn công đã bảo vệ khoảng 75.700 WETH trên Ethereum và 30.800 WETH trên Arbitrum, đạt tỷ lệ vay trên giá trị gần 99% trước khi các cơ chế phong tỏa của giao thức ngăn chặn các khoản vay tiếp theo.
Phân tích Định danh & Hồ sơ Thủ phạm
Các nhà nghiên cứu an ninh và các công ty phân tích chuỗi khối đã quy trách nhiệm vụ tấn công cho Nhóm Lazarus của Triều Tiên, đặc biệt là nhóm TraderTraitor. Các đặc điểm hoạt động phù hợp với các phương pháp đã được ghi nhận của Lazarus: chiến thuật xâm nhập kiên nhẫn, thao túng hạ tầng đáng tin cậy và các cơ chế giảm thiểu phát hiện tinh vi. Phần mềm độc hại sử dụng đã tự hủy sau khai thác, hệ thống xóa sạch các bằng chứng pháp y từ các hệ thống bị xâm phạm.
Phản ứng & Phòng ngừa của Giao thức
Aave đã phản ứng trong vòng vài giờ bằng cách phong tỏa các thị trường rsETH trên các phiên bản V3 và V4, bao gồm tích hợp SparkLend. Hiện tại, giao thức đang đối mặt với khoảng $177 triệu đô la nợ xấu, chủ yếu tập trung ở Arbitrum. Tổng giá trị bị khóa trong hệ sinh thái Aave giảm từ $26 tỷ đô la xuống còn $18 tỷ đô la, tương đương với dòng chảy ra từ 8 đến 14 tỷ đô la khi các nhà cung cấp thanh khoản rút vốn.
Sự lây lan còn vượt ra ngoài Aave, với hơn 15 giao thức đã thực hiện tạm dừng cầu khẩn cấp. Các pool cho vay WETH đạt tỷ lệ sử dụng 100%, tạo ra rủi ro thanh lý thứ cấp cho các vị thế đòn bẩy. KelpDAO đã đưa các địa chỉ khai thác vào danh sách đen và tuyên bố đã ngăn chặn thêm khoảng $95 triệu đô la trong các nỗ lực tấn công tiếp theo.
Phân tích Nguyên nhân Gốc tranh cãi
Có một tranh cãi lớn giữa KelpDAO và LayerZero về trách nhiệm cơ bản. LayerZero khẳng định rằng cấu hình DVN 1-đến-1 của KelpDAO đã vi phạm các thực hành an ninh khuyến nghị, nhấn mạnh rằng chính giao thức không chứa lỗ hổng và sự cố chỉ liên quan đến hạ tầng rsETH. LayerZero đã vá các hệ thống DVN và RPC bị ảnh hưởng sau đó.
KelpDAO phản bác rằng tài liệu hướng dẫn và cấu hình khởi động nhanh của LayerZero đề xuất thiết lập 1-đến-1, lập luận rằng nhà cung cấp hạ tầng chịu trách nhiệm về an ninh của các nút RPC. Cả hai bên đều đồng ý rằng không có lỗi hợp đồng thông minh nào bị khai thác; nguyên nhân gốc rễ tập trung vào giả định về độ tin cậy trong các cấu hình điểm yếu đơn lẻ.
Ảnh hưởng An ninh DeFi
Sự cố này phơi bày các lỗ hổng nghiêm trọng trong kiến trúc cầu chéo chuỗi, đặc biệt là về an ninh hạ tầng RPC. Các nút RPC đã trở thành điểm yếu hệ thống, với phần lớn các giao thức dựa vào một số nhà cung cấp hạn chế mà không có đa dạng hóa dự phòng phù hợp. Vụ khai thác cho thấy rằng ngay cả các hệ thống xác thực đa chữ ký và đa dạng cũng có thể bị xâm phạm khi nguồn dữ liệu nền bị nhiễm độc.
Các nhà phân tích ngành khuyến nghị triển khai ngay các cấu hình DVN đa dạng, mạng lưới nhà cung cấp RPC đa dạng và hệ thống kiểm tra cấu hình theo thời gian thực. Kiến trúc an ninh mô-đun của LayerZero đã giới hạn phạm vi thiệt hại chỉ trong rsETH, không ảnh hưởng đến các hợp đồng OFT hoặc OApp khác, cho thấy rằng các khung messaging chéo chuỗi có thể duy trì khả năng phục hồi ngay cả trong các cuộc tấn công vào hạ tầng mục tiêu.
Tình trạng Hiện tại & Nỗ lực Phục hồi
Quản trị Aave hiện đang tranh luận về các cơ chế xã hội hóa nợ để giải quyết tình hình nợ xấu. KelpDAO, LayerZero và Aave đã thiết lập các kênh phối hợp cho các hoạt động phục hồi. Tập thể an ninh chuỗi khối Seal-911 đang theo dõi hoạt động chuyển động của quỹ, với một phần tài sản bị đánh cắp đã chảy qua Tornado Cash và các giao thức che giấu khác. Các kênh đàm phán Whitehat vẫn mở, mặc dù chưa xác nhận việc phục hồi tại thời điểm viết.
Vụ khai thác này thiết lập kỷ lục mới cho các vụ hack DeFi năm 2026, vượt qua vụ $285 triệu đô la của Drift Protocol ngày 1 tháng 4. Sự cố này nhấn mạnh các mối quan ngại liên tục về an ninh cầu chéo chuỗi như là phương thức tấn công chính trong DeFi, với hạ tầng chéo chuỗi vẫn là biên giới an ninh tranh chấp nhất của hệ sinh thái.
#KelpDAO #DeFiSecurity #BridgeExploit #CryptoNews

#KelpDAOBridgeHacked
Lỗ hổng Cầu KelpDAO: Phân tích kỹ thuật & Tác động ngành
Vào ngày 18 tháng 4 năm 2026, cầu chéo chuỗi rsETH của KelpDAO đã gặp phải vụ khai thác DeFi lớn nhất năm 2026, với kẻ tấn công rút sạch khoảng 116.500 rsETH trị giá khoảng $292 triệu đô la. Sự cố này chiếm khoảng 18% tổng cung lưu hành của rsETH và đã gây ra các tác động dây chuyền trên toàn hệ sinh thái DeFi.
Phân tích Đường tấn công
Lỗ hổng được thực hiện thông qua một cuộc tấn công đa giai đoạn tinh vi nhằm vào hạ tầng của LayerZero. Kẻ tấn công đầu tiên đã xâm nhập hai nút RPC độc lập do LayerZero Labs vận hành, thay thế các tệp nhị phân op-geth hợp pháp bằng các phiên bản độc hại. Các nút bị nhiễm này được cấu hình đặc biệt để lừa đảo Mạng xác minh phi tập trung của LayerZero (DVN) trong khi vẫn giữ phản hồi trung thực cho các hệ thống giám sát khác, qua đó tránh bị phát hiện.
Chuỗi tấn công bao gồm một cuộc tấn công từ chối dịch vụ phân tán (DDoS) phối hợp nhằm vào một nút RPC sạch thứ ba, buộc DVN phải chuyển sang hạ tầng bị nhiễm. Cấu hình cầu của KelpDAO sử dụng thiết lập DVN 1-đến-1, nghĩa là chỉ cần DVN của LayerZero Labs để xác thực các tin nhắn chéo chuỗi. Các nút bị nhiễm đã thành công xác nhận một giao dịch đốt giả mạo trên Unichain, hệ thống chuyển tiếp EndpointV2 đã truyền tải đến Bộ điều hợp OFT của KelpDAO, kích hoạt việc phát hành trái phép dự trữ trên mainnet.
Sau khi khai thác, kẻ tấn công đã rửa tiền rsETH bị đánh cắp qua nhiều ví, gửi tiền làm tài sản thế chấp trên các thị trường Aave V3 trên Ethereum và Arbitrum. Kẻ tấn công đã bảo vệ khoảng 75.700 WETH trên Ethereum và 30.800 WETH trên Arbitrum, đạt tỷ lệ vay trên giá trị gần 99% trước khi các cơ chế phong tỏa của giao thức ngăn chặn các khoản vay tiếp theo.
Phân tích Định danh & Hồ sơ Thủ phạm
Các nhà nghiên cứu an ninh và các công ty phân tích chuỗi khối đã quy trách nhiệm vụ tấn công cho Nhóm Lazarus của Triều Tiên, đặc biệt là nhóm TraderTraitor. Các đặc điểm hoạt động phù hợp với các phương pháp đã được ghi nhận của Lazarus: chiến thuật xâm nhập kiên nhẫn, thao túng hạ tầng đáng tin cậy và các cơ chế giảm thiểu phát hiện tinh vi. Phần mềm độc hại sử dụng đã tự hủy sau khai thác, hệ thống xóa sạch các bằng chứng pháp y từ các hệ thống bị xâm phạm.
Phản ứng & Phòng ngừa của Giao thức
Aave đã phản ứng trong vòng vài giờ bằng cách phong tỏa các thị trường rsETH trên các phiên bản V3 và V4, bao gồm tích hợp SparkLend. Hiện tại, giao thức đang đối mặt với khoảng $177 triệu đô la nợ xấu, chủ yếu tập trung ở Arbitrum. Tổng giá trị bị khóa trong hệ sinh thái Aave giảm từ $26 tỷ đô la xuống còn $18 tỷ đô la, tương đương với dòng chảy ra từ 8 đến 14 tỷ đô la khi các nhà cung cấp thanh khoản rút vốn.
Sự lây lan còn vượt ra ngoài Aave, với hơn 15 giao thức đã thực hiện tạm dừng cầu khẩn cấp. Các pool cho vay WETH đạt tỷ lệ sử dụng 100%, tạo ra rủi ro thanh lý thứ cấp cho các vị thế đòn bẩy. KelpDAO đã đưa các địa chỉ khai thác vào danh sách đen và tuyên bố đã ngăn chặn thêm khoảng $95 triệu đô la trong các nỗ lực tấn công tiếp theo.
Phân tích Nguyên nhân Gốc tranh cãi
Có một tranh cãi lớn giữa KelpDAO và LayerZero về trách nhiệm cơ bản. LayerZero khẳng định rằng cấu hình DVN 1-đến-1 của KelpDAO đã vi phạm các thực hành an ninh khuyến nghị, nhấn mạnh rằng chính giao thức không chứa lỗ hổng và sự cố chỉ liên quan đến hạ tầng rsETH. LayerZero đã vá các hệ thống DVN và RPC bị ảnh hưởng sau đó.
KelpDAO phản bác rằng tài liệu hướng dẫn và cấu hình khởi động nhanh của LayerZero đề xuất thiết lập 1-đến-1, lập luận rằng nhà cung cấp hạ tầng chịu trách nhiệm về an ninh của các nút RPC. Cả hai bên đều đồng ý rằng không có lỗi hợp đồng thông minh nào bị khai thác; nguyên nhân gốc rễ tập trung vào giả định về độ tin cậy trong các cấu hình điểm yếu đơn lẻ.
Ảnh hưởng An ninh DeFi
Sự cố này phơi bày các lỗ hổng nghiêm trọng trong kiến trúc cầu chéo chuỗi, đặc biệt là về an ninh hạ tầng RPC. Các nút RPC đã trở thành điểm yếu hệ thống, với phần lớn các giao thức dựa vào một số nhà cung cấp hạn chế mà không có đa dạng hóa dự phòng phù hợp. Vụ khai thác cho thấy rằng ngay cả các hệ thống xác thực đa chữ ký và đa dạng cũng có thể bị xâm phạm khi nguồn dữ liệu nền bị nhiễm độc.
Các nhà phân tích ngành khuyến nghị triển khai ngay các cấu hình DVN đa dạng, mạng lưới nhà cung cấp RPC đa dạng và hệ thống kiểm tra cấu hình theo thời gian thực. Kiến trúc an ninh mô-đun của LayerZero đã giới hạn phạm vi thiệt hại chỉ trong rsETH, không ảnh hưởng đến các hợp đồng OFT hoặc OApp khác, cho thấy rằng các khung messaging chéo chuỗi có thể duy trì khả năng phục hồi ngay cả trong các cuộc tấn công vào hạ tầng mục tiêu.
Tình trạng Hiện tại & Nỗ lực Phục hồi
Quản trị Aave hiện đang tranh luận về các cơ chế xã hội hóa nợ để giải quyết tình hình nợ xấu. KelpDAO, LayerZero và Aave đã thiết lập các kênh phối hợp cho các hoạt động phục hồi. Tập thể an ninh chuỗi khối Seal-911 đang theo dõi hoạt động chuyển động của quỹ, với một phần tài sản bị đánh cắp đã chảy qua Tornado Cash và các giao thức che giấu khác. Các kênh đàm phán Whitehat vẫn mở, mặc dù chưa xác nhận việc phục hồi tại thời điểm viết.
Vụ khai thác này thiết lập kỷ lục mới cho các vụ hack DeFi năm 2026, vượt qua vụ $285 triệu đô la của Drift Protocol ngày 1 tháng 4. Sự cố này nhấn mạnh các mối quan ngại liên tục về an ninh cầu chéo chuỗi như là phương thức tấn công chính trong DeFi, với hạ tầng chéo chuỗi vẫn là biên giới an ninh tranh chấp nhất của hệ sinh thái.
#KelpDAO #DeFiSecurity #BridgeExploit #CryptoNews

#CryptoMarketSeesVolatility Rò rỉ/Hack Drift Protocol: Quản trị DeFi đang bị đặt vào tình thế bị công kích
Thị trường tiền điện tử nhận được một lời nhắc nhở nghiêm khắc vào tháng 4 năm 2026: rủi ro DeFi không còn bị giới hạn ở các hợp đồng thông minh; quản trị giờ đây là một lỗ hổng chính. Drift Protocol, một trong những nền tảng phái sinh lớn nhất của Solana, đã chịu một cuộc khai thác tàn phá khiến khoảng 280–$285 triệu đô la bị rút cạn. Ban đầu bị xem nhẹ như một tin đồn April Fools, nhưng nhanh chóng lộ diện như một vụ chiếm quyền quản trị tinh vi, đánh dấu vụ hack lớn nhất của tiền mã hóa tính đến hiện tại trong năm 2026 và là một trong những sự kiện quan trọng nhất trong lịch sử DeFi trên Solana.
Đây không phải là một lỗ hổng mã đơn giản. Kẻ tấn công đã tận dụng các giao dịch durable nonce của Solana và các phê duyệt chữ ký bị xâm phạm để giành quyền lực của Security Council, vượt qua các biện pháp bảo vệ rút tiền, làm suy yếu các cơ chế kiểm soát vault, và rút cạn các tài sản lớn bao gồm USDC, SOL, wrapped BTC và các quỹ tài sản thế chấp. Công tác chuẩn bị được cho là mất từ vài ngày đến vài tuần, cho thấy chiều sâu chiến lược và mức độ tinh vi trong vận hành đứng đằng sau vụ khai thác.
Trước vụ hack, Drift nắm giữ gần $550 triệu đô la TVL, phản ánh thanh khoản mạnh mẽ và niềm tin của thị trường. Phản ứng tức thời của thị trường diễn ra hết sức gay gắt: token DRIFT sụp đổ, các khoản gửi và rút tiền bị tạm dừng, và tổng giá trị bị khóa giảm nhanh chóng khi thanh khoản rút khỏi hệ sinh thái.
Sự cố này nhấn mạnh một bài học then chốt đối với tất cả người tham gia DeFi: bảo mật lớp con người thường mong manh hơn chính mã nguồn. Ngay cả các thiết lập multisig vững chắc cũng có thể thất bại nếu các người ký bị xâm phạm thông qua kỹ thuật social engineering hoặc các thiếu sót về quy trình. Những tính năng nhằm tăng độ tin cậy, như giao dịch bị trì hoãn, có thể bị biến thành vũ khí khi kết hợp với quyền truy cập quản trị bị xâm phạm.
Đối với người dùng DeFi, trọng tâm ngay lập tức nên là tránh các khoản gửi mới, kiểm tra và thu hồi các quyền cấp không cần thiết của ví, bảo đảm tài sản trong các ví tách biệt, và tuân thủ nghiêm ngặt các bản cập nhật chính thức của giao thức.
Đối với hệ sinh thái DeFi rộng lớn hơn, sự sụp đổ của Drift đặt ra những câu hỏi cấp bách về quản trị: Các cơ chế kiểm soát multisig có an toàn không? Cơ chế giao dịch bị trì hoãn có thể bị lạm dụng lần nữa hay không? Quyền truy cập quản trị và quản lý khóa nên phát triển như thế nào để ngăn chặn các cuộc tấn công tương tự? Vụ hack này có thể thúc đẩy việc áp dụng các khóa được kiểm soát bằng phần cứng, cách ly người ký chặt chẽ hơn, các governance circuit breakers (công tắc ngắt vận hành quản trị), và cơ chế giám sát quản trị minh bạch.
Drift Protocol giờ đây không chỉ là một tin tức; đây là một nghiên cứu điển hình cho năm 2026, cho thấy rằng an ninh vận hành và quản trị giờ quan trọng không kém gì tính toàn vẹn của mã nguồn. Các nhà giao dịch, nhà phát triển và những người thiết kế giao thức phải tự nội hóa điều này: niềm tin vào con người là lỗ hổng mới. Những người tham gia DeFi không kịp thích nghi sẽ đối mặt với rủi ro về mức độ phơi nhiễm, vốn và niềm tin của thị trường.
#DriftProtocolHacked #DeFiSecurity #SolanaDeFi #BlockchainStrategy #CryptoTradingInsights