Sau 300 triệu, lại thêm 300 triệu nữa. Tiền trong giới DeFi còn dám gửi không?

Tác giả: Jae, PANews

Trong tháng 4, ngành công nghiệp tiền mã hóa diễn biến phức tạp, ngay sau khi Drift, DEX hàng đầu trong hệ sinh thái Solana bị “người chơi đùa” lấy đi 2,85 tỷ USD, thị trường đã rơi vào trạng thái “bùng nổ” của đồng RAVE.

Và đúng lúc RAVE vừa hạ nhiệt, thị trường DeFi lại gặp phải cú sốc khi LRT (liên tục đặt cược lại) hàng đầu Ethereum là KelpDAO bị hacker tấn công.

Ngày 18 tháng 4, KelpDAO bị khai thác lỗ hổng cầu liên chuỗi dựa trên LayerZero, khoảng 116.500 rsETH bị rút trái phép, thiệt hại lên tới 2,92 tỷ USD, quy mô bị đánh cắp còn lớn hơn Drift, trở thành vụ an ninh on-chain lớn nhất từ đầu năm 2026 đến nay.

Hacker không phá vỡ hợp đồng staking chính trên mạng chính, không rò rỉ khoá riêng, chỉ một vết nứt nhỏ trong xác thực liên chuỗi, nhưng đã gây ra rủi ro hợp thành trong DeFi.

Khi đòn bẩy đặt lại cộng với tham vọng mở rộng đa chuỗi, sau 3 năm chạy đua “lợi nhuận ưu tiên”, DeFi lại đối mặt với câu hỏi về “lợi nhuận tối đa” hay “an toàn tối đa”.

Lỗ hổng xác thực điểm đơn gây ra khủng hoảng LRT, KelpDAO bị đánh cắp gần 3 tỷ USD

Nhân vật chính trong vụ trộm, KelpDAO từng là ngôi sao sáng trong lĩnh vực LRT.

Logic kinh doanh của nó chính xác chạm vào điểm đau của thị trường, xây dựng mô hình “một cá ba ăn”. Người dùng đóng gói tài sản LST như stETH, rETH thành rsETH, vừa giữ được lợi nhuận cốt lõi từ ETH staking, vừa có thể nhận thưởng từ EigenLayer, đồng thời dùng rsETH để giao dịch trong các nền tảng cho vay, khai thác DeFi lớn.

Để chiếm lĩnh thị phần, KelpDAO mở rộng mạnh mẽ đến 16 chuỗi công cộng, nhờ lợi nhuận cao và tính thanh khoản lớn, trở thành tài sản thế chấp chủ đạo của các Layer 2, Aave, và thấm sâu vào hệ sinh thái DeFi Ethereum.

Hệ thống đa chuỗi này phụ thuộc rất nhiều vào giao thức liên chuỗi LayerZero cung cấp, và đây chính là trung tâm của thảm họa.

Ngày 20 tháng 4, LayerZero đăng bài tổng kết sự kiện, cho biết KelpDAO bị tấn công, thiệt hại khoảng 2,9 tỷ USD. Các dấu hiệu ban đầu cho thấy, vụ tấn công có thể do một chủ thể nhà nước có trình độ cao thực hiện, rất có thể là nhóm Lazarus của Triều Tiên, cụ thể hơn là TraderTraitor. Do KelpDAO sử dụng cấu hình ký đơn, vụ việc chỉ giới hạn trong cấu hình rsETH, không ảnh hưởng đến các tài sản hoặc ứng dụng liên chuỗi khác.

Cùng lúc, LayerZero thừa nhận, KelpDAO chỉ dùng cấu hình DVN 1/1, tồn tại “rủi ro điểm đơn”, đang liên hệ với tất cả các ứng dụng dùng cấu hình DVN 1/1 để chuyển sang cấu hình đa chữ ký có dự phòng. Tuy nhiên, trước đó LayerZero chưa từng thúc giục KelpDAO thay đổi hoặc bắt buộc dùng đa chữ ký, khiến LayerZero cũng có phần trách nhiệm.

Hacker tấn công vào hạ tầng LayerZero phía dưới, nhắm vào hai nút độc lập, khiến DVN xác nhận có các giao dịch chưa từng xảy ra.”

Theo tiết lộ của LayerZero, hacker đã lấy danh sách RPC của LayerZero Labs DVN, xâm nhập vào hai nút độc lập, thay thế tệp nhị phân op-geth, đồng thời tấn công DDoS vào các RPC chưa bị nhiễm để kích hoạt chuyển đổi dự phòng, khiến DVN xác nhận các giao dịch chưa từng xảy ra.

Nói ngắn gọn, hacker “bật” quyền rút rsETH một cách “bất ngờ”.

Điều đáng sợ hơn là, nếu không có cơ chế blacklist khẩn cấp kích hoạt trong 3 phút cuối, hacker có thể lấy thêm 1 tỷ USD nữa, tổng thiệt hại sẽ vượt qua 4 tỷ USD.

Vụ nổ này đã có dấu hiệu báo trước từ lâu.

Đường tấn công của hacker trực tiếp trúng vào điểm yếu chung của ngành: tính yếu của cơ chế xác thực của giao thức.

Trong cơn say chạy đua về hiệu quả liên chuỗi, KelpDAO đã phớt lờ vấn đề xác thực điểm đơn tồn tại lâu dài, cuối cùng trở thành điểm đột phá của hacker.

Đây không phải lần đầu KelpDAO lộ vấn đề an ninh. Tháng 5 năm ngoái, do lỗi phóng đại đơn vị trong nâng cấp hợp đồng, đã tạo ra 31,2 quintillion (năm mươi triệu tỷ) rsETH, dù kịp thời tiêu hủy không gây thiệt hại, nhưng đã lộ rõ những rủi ro về an toàn.

Cuộc đua trong lĩnh vực đặt lại đã khiến an toàn trở thành hy sinh. Để mở rộng quy mô liên tục, KelpDAO liên tục thêm các tài sản LST mới, mở rộng các mạng L2 mới. Tuy nhiên, mỗi chuỗi mới, mỗi loại tài sản mới, đều làm tăng đáng kể diện tích tấn công.

Các nhà chơi DeFi kỳ cựu chỉ rõ, chi phí thu hút TVL của L2 dự kiến sẽ còn tăng, lượng TVL lớn sẽ chảy trở lại L1.

“Thanh kiếm hai lưỡi” của mở rộng đa chuỗi cuối cùng trở thành lưỡi dao đâm thủng chính giao thức và toàn bộ hệ sinh thái DeFi.

Aave bị nhiễm rsETH, nợ xấu 200 triệu USD gây ra cuộc tháo chạy vốn 6,6 tỷ

DeFi như các mảnh ghép Lego, một mảnh vỡ, toàn bộ sụp đổ.

Sau khi hacker lấy được rsETH trái phép, thay vì bán tháo trên DEX, họ dùng chiến lược “đầu độc tài sản”: gửi rsETH làm tài sản thế chấp “chất lượng cao” vào Aave, vay lấy các tài sản thanh khoản cao như WETH, USDC, USDT, biến tài sản trái phép thành nợ xấu của giao thức.

Theo ước tính của Chaos Labs, quy mô nợ xấu của Aave vượt xa dự kiến, gần 2 tỷ USD.

Sau khi tin nợ xấu lan truyền, giá token AAVE giảm khoảng 18%.

Từ cuối năm ngoái, Aave dường như rơi vào “trận hạn nặng”. Sau loạt rối loạn quản trị, làn sóng rút lui của các nhà cung cấp dịch vụ, nay lại bị ảnh hưởng bởi thị trường rsETH, trở thành điểm đến lý tưởng cho hacker rút thanh khoản.

Một cảnh tượng trên chuỗi còn khiến Aave thêm phần rắc rối.

Sun Yuchen bị phát hiện rút 53.665 ETH, trị giá 1,26 tỷ USD từ Aave. Việc rút vốn của ông được xem như tín hiệu cho các cá mập mất niềm tin vào độ an toàn của giao thức.

Tiếp đó, toàn thị trường chứng kiến dòng vốn chảy ra mạnh mẽ. Theo DeFiLlama, Aave trong một ngày đã rút ròng tới 6,6 tỷ USD, giảm 23% tổng vốn.

Dù vấn đề cốt lõi không do Aave gây ra, nhưng vụ việc này là một bài kiểm tra sâu sắc về cơ chế quản lý rủi ro của họ.

Một số người dùng chỉ ra, đã có thành viên cộng đồng cảnh báo về rủi ro xác thực điểm đơn của KelpDAO từ hơn 15 tháng trước trên diễn đàn quản trị Aave. Tuy nhiên, đội ngũ Aave không có biện pháp nào.

Ngược lại, Spark đã gỡ rsETH khỏi nền tảng từ tháng 1 năm nay. Nhà nghiên cứu DeFi CM thẳng thắn: toàn bộ hệ thống Sky đều theo triết lý kiểm soát rủi ro chủ động, dù có thể làm chậm tiến trình phát triển, nhưng ở thời điểm then chốt, lại thể hiện giá trị.

5.36 vạn ETH của Sun Yuchen cũng đã gửi vào Spark. Trong hai ngày, token SPARK tăng hơn 50%, trái ngược rõ rệt với AAVE.

Todd, đồng sáng lập Nothing Research, cho rằng, trước khoản nợ xấu gần 2 tỷ USD, Aave có thể sẽ kích hoạt “bảo hiểm Umbrella”.

Dù module này cung cấp lớp phòng thủ đầu tiên, nhưng quỹ dự trữ của nó rõ ràng không đủ để bù đắp khoản mất mát gần 2 tỷ USD.

Trong ngắn hạn, tự cứu mình của Aave chỉ là trì hoãn khủng hoảng, chưa thể giải quyết triệt để, phần thiếu hụt chính vẫn phải dựa vào lợi nhuận của giao thức hoặc phát hành token mới, các phương án cụ thể sẽ còn phải thảo luận tiếp với cộng đồng.

Hệ thống cách ly + bắt buộc mua bảo hiểm + định giá lại rủi ro, an toàn không còn “miễn phí”

Vụ KelpDAO chính thức khép lại làn sóng bùng nổ LRT, thị trường DeFi sẽ đón nhận ba cuộc cách mạng kiểm soát rủi ro không thể đảo ngược.

Chia tách thị trường cho vay: Mô hình cho vay không cách ly của Aave trở thành quá khứ, tài sản sẽ bị giới hạn trong “bể chứa cô lập” (Siloed Pools). Ngay cả khi một tài sản gặp vấn đề, các bể thanh khoản khác vẫn không bị ảnh hưởng.

Michael Egorov, sáng lập Curve, viết rằng, mô hình cho vay không cách ly có khả năng mở rộng tốt, nhưng rủi ro cao hơn, đề xuất thị trường nên dùng mô hình hoàn toàn cách ly hoặc kết hợp.

Mô hình hoàn toàn cách ly dù có thể giảm hiệu quả vốn, nhưng sẽ tăng cường khả năng chống chịu rủi ro của hệ thống.

Bắt buộc bảo hiểm: Module Umbrella sẽ thúc đẩy việc chuyển đổi bảo hiểm giao thức từ “tùy chọn” thành “bắt buộc”.

Trong tương lai, mọi tài sản mới muốn niêm yết trên các nền tảng cho vay chính như Aave có thể sẽ bị yêu cầu phải gửi một tỷ lệ phần trăm nhất định làm thế chấp vào quỹ bảo hiểm, để làm nguồn bồi thường đầu tiên trong trường hợp vi phạm hợp đồng hoặc bị trộm cắp.

Định giá lại rủi ro tài sản DeFi: Yishi, sáng lập OneKey, thẳng thắn: lợi nhuận và rủi ro của DeFi hiện tại không còn tỷ lệ phù hợp, an toàn có chi phí cứng.

Thị trường sẽ định giá lại rủi ro. Các phí của giao thức, chi phí hạ tầng đều sẽ chịu áp lực tăng, nếu không, không thể duy trì đầu tư an toàn.

Do đó, tài sản DeFi cần được định giá lại dựa trên độ an toàn nền tảng của chúng. Các tài sản đóng gói như LRT rõ ràng có rủi ro cao hơn tài sản gốc, các nền tảng cho vay cần tính đến việc giảm giá rủi ro của các tài sản này trong mô hình kiểm soát rủi ro của mình.

Vụ KelpDAO bị trộm là một tấm gương khắc nghiệt, phản ánh rõ ràng về việc DeFi trong quá trình theo đuổi lợi nhuận cực đoan và mở rộng đa chuỗi đã bỏ qua giới hạn an toàn.

Thiệt hại gần 3 tỷ USD là đắt đỏ, nhưng nếu nó thúc đẩy DeFi chuyển từ việc mù quáng theo đuổi tính hợp thành sang hướng an toàn hơn, thì đó chính là học phí để ngành trưởng thành.

Trong dư chấn của vụ KelpDAO, thị trường dần nhận thức rằng, giá trị thực của DeFi nằm ở việc cung cấp một hạ tầng tài chính minh bạch, an toàn, có khả năng chống rủi ro cao hơn.

Và khi cơn sóng thần lặng đi, những nền móng vững chắc hơn sẽ còn lại.