#rsETHAttackUpdate

Sáu ngày sau vụ hack DeFi lớn nhất năm 2026, cuộc khủng hoảng rsETH đã bước vào giai đoạn phục hồi quan trọng nhất. Cuộc tấn công đã được kiểm soát. Máu chảy đã dừng lại. Nhưng việc giải quyết toàn diện bao gồm phân phối nợ xấu, khôi phục peg rsETH, và phục hồi quỹ đa chuỗi vẫn đang diễn ra tích cực từ sáng nay. Dưới đây là tất cả những gì đã được xác nhận hôm nay.

Tóm tắt vụ tấn công Những gì đã xảy ra vào ngày 18 tháng 4
Vào ngày 18 tháng 4 năm 2026 lúc 17:35 UTC, một kẻ tấn công đã khai thác cầu LayerZero V2 của KelpDAO giữa Unichain và Ethereum mainnet. Cầu được cấu hình với một DVN cực kỳ yếu ớt 1-trong-1 nghĩa là một nút xác thực duy nhất do LayerZero Labs vận hành có toàn quyền phê duyệt các tin nhắn chéo chuỗi mà không cần xác minh độc lập. Kẻ tấn công đã đầu độc hạ tầng RPC do DVN của LayerZero sử dụng, gây quá tải DDoS các nút hợp lệ để buộc chuyển sang các nút bị xâm phạm rồi giả mạo một tin nhắn chéo chuỗi hợp lệ khiến cầu bị lừa mint ra 116.500 token rsETH không được thế chấp trực tiếp đến các địa chỉ do kẻ tấn công kiểm soát. Những token này ngay lập tức được gửi vào Aave V3 làm tài sản thế chấp, cho phép kẻ tấn công vay số lượng lớn WETH thực đối với các khoản thế chấp hoàn toàn giả mạo. Tổng thiệt hại: 292 triệu USDT, vụ khai thác DeFi lớn nhất năm 2026.

Tiến trình phục hồi Những gì đã được xác nhận hôm nay
Quá trình phục hồi đang tiến triển nhưng vẫn chưa hoàn tất. Hội đồng An ninh Arbitrum đã thu hồi khoảng 70 triệu USDT bằng ETH liên quan đến vụ tấn công, tăng từ con số 30.766 ETH được báo cáo đầu tuần này. Những khoản tiền này vẫn còn trong một ví trung gian chờ quyết định của quản trị về phương pháp phân phối. Tuy nhiên, phần lớn tài sản bị đánh cắp đã được chuyển qua THORChain, làm phức tạp đáng kể việc phục hồi toàn diện. KelpDAO đã khóa các hợp đồng chính bằng multisig ngay sau khi vụ tấn công được phát hiện, thành công chặn một vụ trộm thứ hai trị giá khoảng 95 triệu USDT, xác nhận rằng các cơ chế ứng phó khẩn cấp đã hoạt động đúng sau vụ vi phạm ban đầu. Tỷ lệ phục hồi tổng thể vẫn còn dưới 50% tổng số tiền bị đánh cắp tính đến ngày 24 tháng 4.

Liên minh ngành DeFi hợp nhất thành lập
Phát triển quan trọng nhất hôm nay là việc mở rộng chính thức sáng kiến phục hồi DeFi United, một nỗ lực cứu hộ phối hợp toàn ngành do Aave dẫn đầu nhằm ổn định backing rsETH và loại bỏ nợ xấu trên các nền tảng cho vay bị ảnh hưởng. Các đóng góp đã xác nhận tính đến ngày 24 tháng 4 bao gồm nhà sáng lập Aave Stani Kulechov cam kết cá nhân 5.000 ETH từ vốn của chính mình, nói rằng: "Aave là công việc cả đời của tôi và chúng tôi đang làm việc không ngừng để tìm ra kết quả tốt nhất cho người dùng." Quản trị EtherFi đã nhận được sự chấp thuận áp đảo từ 1.800 người nắm giữ token, phê duyệt đóng góp lên tới 5.000 ETH từ kho dự trữ DAO của họ. Lido Finance đã cam kết tối đa 2.500 stETH để giải quyết khoảng cách backing rsETH. Quỹ Golem Foundation và Golem Factory đã đóng góp tổng cộng 1.000 ETH từ các quỹ của họ. LayerZero cũng đề xuất đóng góp để khôi phục backing rsETH, cho biết đã phối hợp chặt chẽ với Aave, EtherFi, Ethena, Arbitrum, và Kelp trong suốt quá trình. Tydro, Ink Foundation, và Mantle đều đã tham gia liên minh, trong đó Mantle đề xuất một khoản vay có cấu trúc lớn để hỗ trợ vị thế thanh khoản của Aave. Trong vòng một tuần, dự kiến sẽ công bố lộ trình toàn diện chi tiết tất cả các thực thể liên quan và phương pháp phân phối quỹ.

Tình trạng phong tỏa dự trữ chính thức của Aave
Guardian của Aave đã khởi động các lệnh phong tỏa khẩn cấp đối với các thị trường rsETH và wrsETH trên tất cả các triển khai trong vòng 77 phút sau vụ tấn công ban đầu vào lúc 18:52 UTC ngày 18 tháng 4. Tính đến ngày 24 tháng 4, các dự trữ rsETH vẫn bị tạm dừng trên Ethereum Core, Arbitrum, Base, Mantle, và Linea, với Aave rõ ràng tuyên bố rằng việc tạm dừng kéo dài này nhằm tạo điều kiện tối đa cho việc phục hồi quỹ khi các kế hoạch giải quyết tiến triển. Quản trị Aave đã vô hiệu hóa các thị trường rsETH trên cả V3 và V4. Tất cả các pool khác của Aave vẫn hoàn toàn an toàn và hoạt động bình thường, vụ việc chỉ giới hạn trong rsETH và không phản ánh bất kỳ lỗ hổng nào trong chính giao thức Aave.

Tác động lan rộng của DeFi – Bức tranh thiệt hại toàn diện
Sự lan truyền đã vượt ra ngoài KelpDAO. Aave ghi nhận 6.200 triệu USDT rút ròng, giảm 23%. Morpho mất 716 triệu USDT, giảm 9%. Sky protocol mất 272 triệu USDT, giảm 4%. JupLend mất 76 triệu USDT, giảm 8%. Tổng TVL của DeFi giảm khoảng 10 tỷ USDT ngay sau vụ tấn công, với JPMorgan ước tính tác động rộng lớn hơn của hệ sinh thái là 20 tỷ USDT. Lido đã tạm dừng sản phẩm EarnETH, vốn có khoảng 9% TVL của họ trực tiếp bị ảnh hưởng bởi rsETH của KelpDAO, đồng thời triển khai một dự trữ thanh khoản 3 triệu USDT trong khi xử lý các yêu cầu rút tiền trước vụ tấn công theo định giá trước đó. DVV, GGV, và EarnUSD từ Lido xác nhận không có tiếp xúc trực tiếp với rsETH và vẫn hoạt động bình thường. SparkLend và Fluid đều đã thực hiện các lệnh tạm dừng khẩn cấp về tiếp xúc rsETH. Lãi suất dựa trên tỷ lệ sử dụng đã tăng vọt trên nhiều nền tảng cho vay, buộc các người vay phải giảm đòn bẩy và điều chỉnh danh mục trong toàn hệ sinh thái.

Tình trạng quỹ người dùng theo loại vị trí
An toàn của quỹ người dùng hoàn toàn phụ thuộc vào sản phẩm và chuỗi mà họ nắm giữ tiếp xúc.
Các chủ sở hữu rsETH trên Ethereum mainnet được hỗ trợ bởi các khoản gửi staking EigenLayer hợp lệ vẫn giữ được backing của họ, các delegations EigenLayer đã được xác nhận hoàn toàn nguyên vẹn và chưa từng bị xâm phạm. Người dùng Aave có các vị trí không phải rsETH trên tất cả các pool đều an toàn và không bị ảnh hưởng. Người dùng nắm giữ rsETH đã đóng gói trên các mạng Layer 2 đối mặt với sự không chắc chắn thực sự, vì quỹ dự trữ cầu hỗ trợ các token đó đã bị phá vỡ, và phân phối thiệt hại qua các chuỗi vẫn chưa được xác định chính thức. Những người nộp yêu cầu rút EarnETH trước khi xảy ra thiếu thanh khoản sẽ được hoàn tiền theo định giá trước vụ việc. Các yêu cầu rút sau sẽ được xử lý sau khi điều kiện thanh khoản bình thường trở lại. Hướng dẫn chính thức từ mọi giao thức bị ảnh hưởng vẫn giữ nguyên: không tương tác với rsETH trên bất kỳ chuỗi nào cho đến khi có thông báo giải pháp chính thức.

Cập nhật vá lỗi An ninh Những gì đã thay đổi
Cấu hình DVN 1-trong-1 đã được xác định là lỗ hổng gốc rễ cuối cùng và sẽ không xuất hiện trong bất kỳ triển khai KelpDAO hoặc LayerZero nào trong tương lai. LayerZero thừa nhận đã đề xuất cấu hình multi-DVN cho KelpDAO trước vụ tấn công nhưng giao thức của họ vẫn cho phép các triển khai 1-trong-1, một lỗ hổng mà giờ đây họ đang khắc phục ở cấp độ giao thức. Nhà nghiên cứu an ninh on-chain banteg đã công khai xác nhận rằng nhiều dự án khác vẫn vận hành cấu hình cầu 1-trong-1 tính đến ngày 19 tháng 4, bao gồm một số dự án trên Arbitrum, Base, và BSC, gây ra các cuộc rà soát an ninh khẩn cấp trong toàn hệ sinh thái DeFi. Tiêu chuẩn xác thực đa DVN tối thiểu 2-trong-3 hiện đang được áp dụng làm tiêu chuẩn ngành trên tất cả các triển khai cầu có giá trị cao.

Tâm lý nhà đầu tư – Sợ hãi hay Cơ hội
Tâm lý thị trường về rsETH đặc biệt vẫn rất tiêu cực và sẽ duy trì như vậy cho đến khi lộ trình phục hồi DeFi United chính thức được công bố và phân phối nợ xấu được xác nhận. Tuy nhiên, toàn bộ ngành DeFi đang cho thấy những dấu hiệu sớm của một thương vụ trú ẩn, với vốn luân chuyển từ các giao thức bị ảnh hưởng sang các lựa chọn không bị ảnh hưởng. Santiment xác nhận mô hình này xuất hiện sáu ngày sau vụ hậu quả của Kelp. Quy mô và tốc độ của liên minh DeFi United với hơn 13.500 ETH đã cam kết từ các đóng góp xác nhận lớn hơn bất kỳ nỗ lực phục hồi khai thác DeFi nào trước đây và báo hiệu sự trưởng thành đáng kể của hệ sinh thái. Việc 1.800 người nắm giữ token EtherFi bỏ phiếu ủng hộ mạnh mẽ việc triển khai vốn phục hồi xác nhận rằng các cơ chế quản trị DeFi có thể huy động nhanh chóng trong khủng hoảng khi mức độ rủi ro đủ cao.

Bài học về An ninh DeFi – Những gì điều này thay đổi vĩnh viễn
Ba thay đổi cấu trúc hiện đang diễn ra trong toàn hệ sinh thái DeFi do hậu quả trực tiếp của vụ khai thác này. Thứ nhất, cấu hình DVN 1-trong-1 đang bị loại bỏ khỏi tất cả các giao thức cầu chính, vụ tấn công của KelpDAO đã chứng minh rằng một sự xâm phạm của một validator duy nhất có thể rút sạch hàng trăm triệu trong vòng vài phút. Thứ hai, việc theo dõi invariant theo thời gian thực, giám sát tỷ lệ khóa-mint trên tất cả các chuỗi cùng lúc, đang được yêu cầu như một tiêu chuẩn an ninh cốt lõi, không còn là tùy chọn. Thứ ba, giới hạn tập trung TVL cầu đang được đưa vào thảo luận quản trị của các giao thức lớn, không một cầu nào nên giữ dự trữ hỗ trợ cho một phần đáng kể của nguồn cung lưu hành token mà không có các cơ chế tự động ngắt mạch.

Lịch trình phục hồi
Kịch bản cơ bản dự kiến là 30 đến 60 ngày để lộ trình DeFi United thực thi, nợ xấu được phân phối, và các thị trường rsETH bắt đầu mở lại theo từng chuỗi bắt đầu từ Ethereum mainnet. Kịch bản lạc quan cho phục hồi rsETH phụ thuộc vào ba biến số hội tụ: các cam kết vốn của DeFi United được hoàn tất trong vòng một tuần như đã công bố, quản trị Hội đồng An ninh Arbitrum phê duyệt phân phối số tiền 70 triệu USDT đã phục hồi, và không có thêm các chuyển động của THORChain bởi kẻ tấn công gây phức tạp thêm cho các phân tích on-chain.

Đối với các chủ sở hữu rsETH hiện tại, đây là tình huống giữ và theo dõi chứ không phải bán trong tình trạng thanh khoản kém và chưa phải mua cho đến khi có xác nhận chính thức về lộ trình phục hồi. Đối với toàn bộ hệ sinh thái DeFi, sáng kiến DeFi United đại diện cho phản ứng khủng hoảng phối hợp mạnh nhất trong lịch sử ngành. Nếu thành công, nó sẽ đặt ra tiêu chuẩn mới về cách DeFi xử lý các sự kiện đen swan. Nếu thất bại, áp lực pháp lý về bảo hiểm DeFi bắt buộc và kiểm tra an ninh cầu sẽ trở thành vấn đề chính trị không thể tránh khỏi.

Vụ tấn công đã kết thúc. Quá trình phục hồi đã bắt đầu. Kết quả phụ thuộc vào việc các tên tuổi lớn của DeFi có thể thực hiện đúng các cam kết lớn nhất của họ hay không.