#加密市场行情震荡rsETH CẬP NHẬT VỀ CUỘC TẤN CÔNG MỘT MESSAGE GIẢ MẠO ĐÃ PHÁ VỠ $10 TỶ USD TRONG DEFI

CUỘC TẤN CÔNG ĐÃ THAY ĐỔI DEFI MÃI MÃI
Vào chính xác 17:35 UTC ngày 18 tháng 4 năm 2026, một tin nhắn chéo chuỗi giả mạo đơn lẻ đã kích hoạt vụ khai thác DeFi lớn nhất trong năm. Cầu rsETH của KelpDAO được hỗ trợ bởi LayerZero đã bị rút sạch 116.500 rsETH khoảng $292 triệu USD trong vòng vài phút. Không có hợp đồng thông minh nào bị phá vỡ. Không có mã Solidity nào bị khai thác. Toàn bộ cuộc tấn công diễn ra trong lớp vô hình giữa các chuỗi khối, trong hạ tầng xác minh ngoài chuỗi mà DeFi đã âm thầm dựa vào mà chưa hiểu rõ về điểm yếu của nó. Khi bụi lắng xuống sau 24 giờ, tổng giá trị DeFi bị khóa đã sụt giảm từ 99,5 tỷ USD xuống còn 85,21 tỷ USD, mất đi $14 tỷ USD giá trị từ một vụ khai thác duy nhất. Đây là cập nhật về cuộc tấn công rsETH mà mọi người tham gia DeFi cần hiểu rõ hoàn toàn.
KELPDAO LÀ GÌ VÀ TẠI SAO NÓ QUAN TRỌNG
KelpDAO là một giao thức restaking linh hoạt xây dựng trên Ethereum và EigenLayer. Người dùng gửi ETH, giao thức chuyển nó qua hạ tầng restaking của EigenLayer để kiếm thêm lợi nhuận trên phần thưởng staking tiêu chuẩn, và phát hành rsETH như một token biên nhận có thể giao dịch đại diện cho vị trí restaked cộng với phần thưởng tích lũy. Đến tháng 4 năm 2026, rsETH đã vượt qua $1 tỷ USD tổng giá trị bị khóa và được tích hợp làm tài sản thế chấp trên hầu hết các thị trường cho vay lớn và nền tảng lợi nhuận trong DeFi. rsETH hoạt động trên hơn 20 mạng blockchain bao gồm Arbitrum, Base, Linea, Mantle, Blast, và Scroll, sử dụng tiêu chuẩn OFT của LayerZero để di chuyển giữa các chuỗi. Cầu bị rút sạch đã giữ các dự trữ hỗ trợ tất cả các token rsETH đã được đóng gói đó trên mọi triển khai Layer 2. Khi cầu đó bị trống, 18% tổng cung rsETH lưu hành trở nên không được đảm bảo đồng thời trên hơn 20 chuỗi.
CÁCH THỨC TẤN CÔNG ĐƯỢC THỰC HIỆN VÀ PHÂN TÍCH KỸ THUẬT
Cuộc tấn công không phải là hack hợp đồng thông minh. Mọi giao dịch trên chuỗi đều trông hoàn toàn hợp lệ. Chữ ký được xác minh. Tin nhắn được định dạng đúng. Vụ khai thác nhắm vào lớp hạ tầng ngoài chuỗi — cụ thể là Mạng xác minh phi tập trung của LayerZero, hệ thống xác nhận xem các tin nhắn chéo chuỗi có hợp lệ trước khi chuỗi đích hành động hay không.
Cầu rsETH của KelpDAO sử dụng cấu hình DVN 1-đến-1. Điều này có nghĩa chỉ cần một thực thể, DVN của LayerZero Labs, xác minh và phê duyệt các tin nhắn chéo chuỗi. Không có verifier thứ hai, không có xác nhận độc lập, không có dự phòng. Một verifier. Một điểm thất bại.
Nhóm Lazarus của Triều Tiên, đơn vị hacker do nhà nước bảo trợ, đã phát hiện ra điểm yếu này và thực hiện một cuộc tấn công hạ tầng gồm ba phần. Đầu tiên, họ xâm nhập hai nút RPC nội bộ cung cấp dữ liệu thị trường cho verifier của LayerZero, làm nhiễu dữ liệu với thông tin sai lệch. Thứ hai, họ phát động tấn công DDoS vào các nút dự phòng sạch, buộc hệ thống chuyển sang hạ tầng đã bị xâm phạm. Thứ ba, với verifier giờ đây chạy hoàn toàn trên các nút bị nhiễm độc, họ chèn một nonce tin nhắn chéo chuỗi giả mạo của LayerZero 308, báo hợp lệ cho hợp đồng cầu Ethereum về việc đã xảy ra đốt token hợp lệ trên chuỗi nguồn, kích hoạt phát hành 116.500 rsETH vào ví do kẻ tấn công kiểm soát. Toàn bộ hoạt động sử dụng ví đã được chuẩn bị sẵn qua Tornado Cash khoảng 10 giờ trước cuộc tấn công, xác nhận đây là một chiến dịch có kế hoạch từ lâu, cấp nhà nước và không phải là khai thác cơ hội.
Trong vòng vài phút, kẻ tấn công gửi rsETH bị đánh cắp làm tài sản thế chấp trên Aave và vay hơn $236 triệu WETH dựa trên đó, sử dụng token không được đảm bảo làm tài sản thế chấp cho một khoản vay thực sự. Khoản trộm $292 triệu đã biến thành việc rút WETH trị giá $236 triệu trước khi hầu hết người dùng biết chuyện gì đã xảy ra.
PHẢN ỨNG 46 PHÚT ĐỂ CỨU $100 TRIỆU USD
Nhóm phản ứng khẩn cấp của KelpDAO xác định cuộc tấn công và kích hoạt multisig dừng khẩn cấp vào chính xác 18:21 UTC, đúng 46 phút sau khi rút sạch ban đầu. Giao thức tạm dừng toàn diện đã đóng băng gửi tiền, rút tiền, và token rsETH trên mainnet và tất cả các triển khai Layer 2. Vào 18:26 UTC và 18:28 UTC, hai lần cố gắng rút thêm của kẻ tấn công, mỗi lần nhắm vào khoảng 40.000 rsETH trị giá khoảng $100 triệu, đều bị hủy bỏ chống lại các hợp đồng bị đóng băng. Thời gian phản ứng 46 phút là sự khác biệt giữa một vụ khai thác trị giá $292 triệu và một thảm họa trị giá $492 triệu. Hành động nhanh chóng của nhóm khẩn cấp KelpDAO là lý do duy nhất khiến thiệt hại không gấp đôi.
SỰ LÂY NHIỄM ĐANG DIỄN RA TRONG DEFI
Thiệt hại phía dưới đã lan nhanh hơn bất kỳ dừng khẩn cấp nào có thể kiểm soát. Aave, giao thức cho vay lớn nhất trong DeFi với hơn $20 tỷ USD tổng giá trị bị khóa, đã đóng băng thị trường rsETH trên cả V3 và V4 trong vài giờ. Tỷ lệ sử dụng ETH trên Aave tạm thời tăng vọt lên 100% khi người dùng vội vàng rút tiền. Token AAVE giảm khoảng 10-20% khi các nhà giao dịch định giá rủi ro nợ xấu tiềm năng. SparkLend và Fluid đều đóng băng thị trường rsETH của họ. Lido Finance tạm dừng gửi tiền vào sản phẩm earnETH do rủi ro rsETH. Ethena tạm thời dừng các cầu OFT LayerZero từ mainnet Ethereum như một biện pháp phòng ngừa. Tổng TVL của DeFi sụt giảm từ 99,5 tỷ USD xuống còn 85,21 tỷ USD trong một ngày — $14 tỷ USD bị xóa khỏi toàn bộ hệ sinh thái bởi một vụ khai thác trên một cầu.
Phân tích sự cố của Aave cho thấy vụ khai thác tạo ra tài sản thế chấp không được đảm bảo dùng để vay khoảng $190 triệu, khiến giao thức đối mặt với rủi ro nợ xấu tiềm năng từ $123 triệu đến $230 triệu tùy thuộc cách KelpDAO phân bổ khoản thiếu hụt cho các chủ rsETH.
TÁC ĐỘNG CỦA NHÓM LAZARUS
Đây không phải là một vụ hack ngẫu nhiên. LayerZero chính thức quy trách nhiệm cuộc tấn công cho nhóm Lazarus của Triều Tiên, cùng đơn vị hacker do nhà nước bảo trợ liên kết với vụ Drift trị giá $285 triệu vào ngày 1 tháng 4 năm 2026, và hàng chục vụ trộm tiền điện tử trước đó trị giá hàng tỷ đô la qua nhiều năm. Nhóm Lazarus là hoạt động hack crypto tinh vi và phổ biến nhất thế giới, và sự tham gia của họ trong hai trong ba vụ khai thác DeFi lớn nhất năm 2026 trong vòng 18 ngày xác nhận một chiến dịch có hệ thống, phối hợp nhắm vào hạ tầng DeFi ở lớp hạ tầng chứ không phải hợp đồng.
KHẨN CẤP ĐÓNG BĂNG ARBITRUM VÀO NGÀY 21/4/2026
Vào ngày 21 tháng 4 năm 2026, ba ngày sau vụ khai thác, Hội đồng Bảo mật Arbitrum thực hiện biện pháp can thiệp khẩn cấp lớn nhất trong lịch sử Layer 2. Hội đồng gồm 12 thành viên, hoạt động theo multisig 9-đến-12, đã tịch thu 30.766 ETH từ địa chỉ của kẻ tấn công trên Arbitrum One và chuyển vào ví trung gian bị đóng băng. Giao dịch hoàn tất lúc 23:26 ET ngày 21 tháng 4. Số tiền này không thể di chuyển nữa mà không có bỏ phiếu chính thức của quản trị Arbitrum. Biện pháp này thu hồi khoảng 71,15 triệu USD, tương đương khoảng 29% ETH mà kẻ tấn công đã tích lũy trên Arbitrum. 75.701 ETH còn lại trị giá khoảng $175 triệu trên Ethereum mainnet đã được chuyển đi và đang rửa tiền qua Thorchain và các công cụ riêng tư khác trước khi lệnh đóng băng được mở rộng.
Lệnh đóng băng gây tranh cãi ngay lập tức về tính phi tập trung. Nếu một hội đồng 12 người có thể đóng băng tài sản trên Arbitrum, điều đó có nghĩa gì về cam kết sở hữu không cần phép của Layer 2? Những người ủng hộ gọi đó là DeFi tự vệ chống tội phạm do nhà nước bảo trợ. Phê phán gọi đó là bằng chứng Arbitrum cuối cùng chỉ là một ví multisig có quyền vượt qua kiểm soát tài sản của người dùng.
CUỘC TRANH CHẤM GIỮA LAYERZERO VÀ KELPDAO
Thời kỳ sau khai thác đã xảy ra tranh chấp công khai giữa LayerZero và KelpDAO về ai chịu trách nhiệm. LayerZero công bố một bài phân tích hậu sự kiện cho rằng KelpDAO chọn cấu hình DVN 1-đến-1 mặc dù đã khuyến nghị rõ ràng nên áp dụng đa verifier, và tuyên bố sẽ ngay lập tức ngừng ký các tin nhắn cho bất kỳ ứng dụng nào chạy cấu hình verifier đơn, buộc phải di chuyển toàn bộ các tích hợp LayerZero.
KelpDAO phản pháo, khẳng định cấu hình 1-đến-1 là thiết lập mặc định do LayerZero cung cấp cho các triển khai mới, tài liệu và mã triển khai công khai của LayerZero thúc đẩy xác minh từ một nguồn duy nhất, và hạ tầng bị xâm phạm gồm các nút RPC và máy chủ DVN do LayerZero xây dựng và vận hành hoàn toàn, không phải Kelp. Các nhà nghiên cứu bảo mật phần nào đồng tình với Kelp, trong đó nhà phát triển nổi bật banteg đã công bố một đánh giá kỹ thuật xác nhận rằng mã triển khai tham khảo của LayerZero đi kèm xác minh từ một nguồn duy nhất như mặc định trên các chuỗi chính.
Kết quả là một cuộc đối đầu chia rẽ thiệt hại mà chưa có giải pháp rõ ràng. Cả hai bên đều hứa sẽ công bố phân tích nguyên nhân gốc rễ đầy đủ. Câu hỏi sâu hơn về việc liệu mọi ứng dụng OFT 1-đến-1 hiện đang chạy trên LayerZero có cùng khả năng bị tấn công hay không vẫn chưa có câu trả lời.
ĐIỀU GÌ ĐANG DIỄN RA VỚI DEFI TRONG TƯƠNG LAI
Vụ khai thác KelpDAO không chỉ là một vụ hack khác. Nó là một sự kiện định hình thể loại, phơi bày một điểm yếu cấu trúc trong toàn bộ hệ sinh thái DeFi chéo chuỗi. Cuộc tấn công nằm trong cùng dòng lịch sử với các thất bại của Ronin và Nomad, nơi các điểm kiểm tra xác minh trung tâm trở thành mục tiêu giá trị cao. Nhưng còn xa hơn nữa, vì các hợp đồng trên chuỗi chưa từng bị chạm vào. Mọi giao dịch trên chuỗi đều hợp lệ. Thất bại nằm ở hạ tầng ngoài chuỗi vô hình mà DeFi đã xem như đã giải quyết trong nhiều năm.
Bài học rõ ràng và cấp bách. Cấu hình DVN đa verifier giờ đây là bắt buộc đối với bất kỳ cầu nào giữ giá trị lớn. Các cuộc kiểm tra cấu hình, xem xét cài đặt triển khai chứ không chỉ mã hợp đồng thông minh, phải trở thành tiêu chuẩn. Giám sát invariant chéo chuỗi liên tục xác minh rằng token phát hành trên chuỗi đích phù hợp với token bị đốt trên chuỗi nguồn là tiêu chuẩn tối thiểu mới cho an ninh cầu. Và câu hỏi về cách DeFi xử lý các hoạt động hack do nhà nước bảo trợ với nguồn lực và kiên nhẫn của một chính phủ vẫn chưa có câu trả lời rõ ràng.
Vụ trộm $292 triệu USD. Sự phá hủy TVL $14 tỷ USD. Rủi ro nợ xấu tiềm năng $230 triệu USD của Aave. 30.766 ETH bị đóng băng bởi Arbitrum. Quy trách nhiệm nhóm Lazarus. Tất cả đều chỉ ra một kết luận: lớp hạ tầng chéo chuỗi của DeFi là bề mặt dễ tổn thương nhất trong toàn bộ hệ sinh thái, và các hacker tinh vi nhất thế giới đã nhận ra điều đó và đang khai thác có hệ thống.
Cuộc tấn công rsETH không phải là cảnh báo. Nó là một phán quyết. Sửa chữa lớp hạ tầng, hoặc mất tất cả những gì nằm trên đó.
#rsETHAttackUpdate