#KelpDAOBridgeHacked

Việc khai thác cầu của KelpDAO không chỉ là một tiêu đề hack tiền điện tử khác. Nó là một lời nhắc nhở nghiêm trọng rằng trong DeFi, rủi ro lớn nhất thường không phải là sản phẩm chính mà người dùng tin tưởng hàng ngày, mà là hạ tầng hoạt động phía dưới nó.

Vào ngày 18 tháng 4, một kẻ tấn công đã rút sạch 116.500 rsETH khỏi hệ thống cầu của KelpDAO, trị giá khoảng 290 triệu đô la vào thời điểm đó. Điều đó chiếm gần 18% nguồn cung lưu hành của rsETH. Một số báo cáo đã mô tả đây là vụ khai thác DeFi lớn nhất trong năm 2026 cho đến nay.

Điều làm cho sự cố này đặc biệt quan trọng là mô hình restaking cốt lõi dường như không phải là phần thất bại. Các báo cáo cho rằng điểm yếu thực sự là cấu hình cầu liên kết với messaging của LayerZero. Tuyến đường được cho là sử dụng một thiết lập xác minh 1-đến-1, nghĩa là một xác minh chấp nhận duy nhất có thể làm cho một tin nhắn chéo chuỗi giả mạo trông hợp lệ.

Nói một cách đơn giản, nếu một cầu dựa vào chỉ một điểm kiểm tra, và điểm kiểm tra đó bị xâm phạm hoặc sử dụng sai, toàn bộ hệ thống có thể bị tổn thương. Đó chính xác là lý do tại sao các cầu vẫn tiếp tục là một trong những điểm yếu nhất trong DeFi.

Thiệt hại không dừng lại ở KelpDAO. Sau khi lấy được rsETH, kẻ tấn công được cho là đã sử dụng các token bị đánh cắp làm tài sản thế chấp trên Aave và vay số lượng lớn WETH dựa trên chúng. Điều đó đã đẩy vấn đề vào hệ sinh thái DeFi rộng lớn hơn, bởi vì một khi tài sản thế chấp xấu vào thị trường cho vay, vấn đề trở nên lớn hơn một giao thức đơn lẻ.

Các báo cáo cho biết Aave đã đóng băng các thị trường rsETH và ước tính hậu quả thiệt hại khoảng $293 triệu đô la trong nợ xấu, trong khi nỗi sợ lây lan nhanh chóng ảnh hưởng đến tâm lý thị trường rộng hơn.

Giờ đây, sự cố đã biến thành một cuộc tranh cãi đổ lỗi. LayerZero nói rằng vụ khai thác chỉ giới hạn ở cấu hình của KelpDAO và chỉ ra thiết lập xác minh một-đầu vào làm lý do tin nhắn giả mạo thành công. Trong khi đó, KelpDAO lập luận rằng thiết lập rủi ro này theo các mặc định đã được LayerZero tài liệu và dựa trên hạ tầng do LayerZero vận hành.

Nói cách khác, cả hai bên đều đồng ý rằng con đường cầu là nguồn gốc của vấn đề, nhưng họ không đồng thuận về việc ai nên chịu trách nhiệm cho việc cho phép thiết kế đó hoạt động ở quy mô lớn như vậy.

Cũng xuất hiện một góc độ địa chính trị. Các báo cáo cho biết các dấu hiệu sơ bộ có thể chỉ ra nhóm TraderTraitor của Bắc Triều Tiên. Việc xác định này vẫn còn sớm và cần được xử lý cẩn thận, nhưng nó thêm một lớp nghiêm trọng khác cho một vụ khai thác đã bắt đầu trở thành một trong những sự kiện an ninh tiền điện tử định hình của năm.

Bài học thực sự ở đây vượt ra ngoài KelpDAO. DeFi đã trở nên cực kỳ liên kết chặt chẽ. Các cầu kết nối các chuỗi, token restaking di chuyển qua các hệ sinh thái, và các thị trường cho vay chấp nhận các tài sản đó làm tài sản thế chấp. Tính khả biến đó thúc đẩy sự phát triển trong thời kỳ tốt, nhưng trong thời kỳ thất bại, nó cũng lan truyền thiệt hại rất nhanh.

Một xác minh yếu, một tin nhắn giả mạo, và một phần tài sản thế chấp độc hại có thể đột nhiên ảnh hưởng đến các nhà cho vay, nhà cung cấp thanh khoản, hệ thống quản trị, và niềm tin của người dùng cùng một lúc.

Nếu sự cố này thay đổi điều gì, thì đó nên là cách thị trường nghĩ về hạ tầng “đủ an toàn”. Một giao thức có thể có thương hiệu mạnh, sự chấp nhận nhanh chóng, và cơ chế cốt lõi vững chắc, nhưng nếu giả định về cầu của nó yếu, toàn bộ hệ thống vẫn còn mong manh.

Việc khai thác của KelpDAO không chỉ là câu chuyện về số tiền bị mất. Đó là câu chuyện về niềm tin ẩn, các mặc định rủi ro, và cái giá mà DeFi phải trả khi đánh giá thấp rủi ro về hạ tầng.