Cơ bản
Giao ngay
Giao dịch tiền điện tử một cách tự do
Giao dịch ký quỹ
Tăng lợi nhuận của bạn với đòn bẩy
Chuyển đổi và Đầu tư định kỳ
0 Fees
Giao dịch bất kể khối lượng không mất phí không trượt giá
ETF
Sản phẩm ETF có thuộc tính đòn bẩy giao dịch giao ngay không cần vay không cháy tải khoản
Giao dịch trước giờ mở cửa
Giao dịch token mới trước niêm yết
Futures
Truy cập hàng trăm hợp đồng vĩnh cửu
TradFi
Vàng
Một nền tảng cho tài sản truyền thống
Quyền chọn
Hot
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Giao dịch demo
Giới thiệu về Giao dịch hợp đồng tương lai
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Tham gia sự kiện để nhận phần thưởng
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
Launch
CandyDrop
Sưu tập kẹo để kiếm airdrop
Launchpool
Thế chấp nhanh, kiếm token mới tiềm năng
HODLer Airdrop
Nắm giữ GT và nhận được airdrop lớn miễn phí
Pre-IPOs
Mở khóa quyền truy cập đầy đủ vào các IPO cổ phiếu toàn cầu
Điểm Alpha
Giao dịch trên chuỗi và nhận airdrop
Điểm Futures
Kiếm điểm futures và nhận phần thưởng airdrop
Đầu tư
Simple Earn
Kiếm lãi từ các token nhàn rỗi
Đầu tư tự động
Đầu tư tự động một cách thường xuyên.
Sản phẩm tiền kép
Kiếm lợi nhuận từ biến động thị trường
Soft Staking
Kiếm phần thưởng với staking linh hoạt
Vay Crypto
0 Fees
Thế chấp một loại tiền điện tử để vay một loại khác
Trung tâm cho vay
Trung tâm cho vay một cửa
#KelpDAOBridgeHacked
Lỗ hổng Cầu KelpDAO - Ngày 18 tháng 4 năm 2026: Những gì đã xảy ra và Tình trạng hiện tại
Vào ngày 18 tháng 4 năm 2026, KelpDAO, một giao thức đặt cược lại thanh khoản, đã gặp phải một trong những vụ khai thác DeFi lớn nhất trong năm khi cầu liên chuỗi của nó bị xâm phạm. Kẻ tấn công đã thành công rút khoảng 116.500 token rsETH, trị giá khoảng $292 triệu đô la vào thời điểm xảy ra sự cố. Đây là vụ hack lớn nhất trong lĩnh vực tiền điện tử năm 2026 tính đến thời điểm hiện tại, vượt qua vụ khai thác Drift Protocol diễn ra đầu tháng 4.
Cách vụ khai thác xảy ra
Cuộc tấn công khai thác một lỗ hổng nghiêm trọng trong hạ tầng cầu của KelpDAO được vận hành bởi LayerZero. Kẻ tấn công đã gửi một tin nhắn liên chuỗi giả mạo đến Bộ điều hợp OFT của KelpDAO trên mạng chính Ethereum, giả danh xuất phát từ Unichain. Nguyên nhân chính là do cấu hình bảo mật của cầu bị sai lệch nghiêm trọng. KelpDAO đã triển khai cấu hình Mạng xác thực phi tập trung DVN (Decentralized Verifier Network) chỉ dựa trên một verifier của LayerZero Labs mà không có sự dự phòng hoặc verifier phụ bổ sung. Cách tiếp cận bảo mật tối thiểu này đã cho phép tin nhắn giả vượt qua xác thực mà không bị kiểm tra, dẫn đến việc vault của cầu phát hành ra các token rsETH không được đảm bảo cho ví của kẻ tấn công.
Cần lưu ý rằng đây không phải là lỗi trong chính giao thức LayerZero. LayerZero V2 được thiết kế theo mô-đun, cho phép các dự án lựa chọn hệ verifier phù hợp. KelpDAO đã chọn cấu hình bảo mật tối thiểu nhất có thể, điều này đã dẫn đến hậu quả thảm khốc.
Chiến lược DeFi của Kẻ tấn công
Sau khi có được rsETH không được đảm bảo, kẻ tấn công đã ngay lập tức sử dụng nó làm tài sản thế chấp trên nhiều giao thức DeFi để rút tối đa giá trị. Trên các thị trường Aave V3 và V4 trên Ethereum và Arbitrum, kẻ tấn công đã vay khoảng 52.834 WETH trên Ethereum và 29.782 WETH cộng 821 wstETH trên Arbitrum. Ngoài ra, còn có hoạt động vay mượn bổ sung trên các giao thức như Compound và Euler, tổng giá trị rút ra vượt quá $200 triệu đô la. Các khoản tiền bị đánh cắp sau đó đã được rửa qua Tornado Cash.
Phản ứng ngay lập tức và kiểm soát thiệt hại
KelpDAO đã phát hiện ra vụ khai thác trong vòng khoảng một giờ, nhờ vào việc giám sát trên chuỗi của các nhà nghiên cứu bảo mật như ZachXBT. Giao thức đã ngay lập tức tạm dừng các cầu trên Ethereum và các chuỗi hỗ trợ khác, thành công chặn hai nỗ lực tấn công tiếp theo. KelpDAO đã phát hành một tuyên bố công khai thể hiện sự sẵn sàng đàm phán với hacker theo hướng white-hat.
Aave đã phản ứng bằng cách đóng băng các thị trường rsETH trên cả V3 và V4 trên Ethereum và Arbitrum. Các giao thức khác như SparkLend, Fluid và Upshift cũng đã thực hiện các biện pháp phòng ngừa. Sự cố này khiến Aave mất khoảng $177 triệu đô la nợ xấu, chủ yếu trên Arbitrum, mặc dù các thị trường trên mạng chính Ethereum vẫn còn đảm bảo tài sản nhưng có nguy cơ bị ảnh hưởng lan rộng. Lido đã tạm dừng gửi earnETH như một biện pháp phòng ngừa, trong khi Ethena và USDT0 đã chủ động tạm dừng cầu của họ mặc dù không có rủi ro trực tiếp.
Các rủi ro thứ cấp xuất hiện khi tỷ lệ sử dụng ETH tăng vọt lên 100% trên Aave, có thể làm chậm quá trình thanh lý và gây mất cân bằng trong các động lực vay mượn.
Tình trạng hiện tại và Hệ quả
Tính đến ngày 19-20 tháng 4 năm 2026, những người nắm giữ rsETH qua cầu có thể phải chịu khoản cắt giảm từ 15-20% trong khi chờ các nỗ lực phục hồi. Cộng đồng Aave đang tích cực thảo luận về các đề xuất quản trị để giải quyết nợ xấu, với các tranh luận vẫn đang diễn ra về việc có nên xử lý các vị trí trên Arbitrum và mạng chính Ethereum riêng biệt hay không.
Sự cố này là một lời nhắc nhở rõ ràng cho các dự án DeFi về việc kiểm tra cấu hình OApp của họ và triển khai hệ xác thực đa DVN với 3-4 verifier bắt buộc thay vì dựa vào điểm yếu duy nhất. May mắn thay, chưa có dự án OFT nào của LayerZero bị ảnh hưởng bởi lỗ hổng cụ thể này.
Các nhà nghiên cứu bảo mật dự kiến sẽ công bố phân tích nguyên nhân gốc rễ trong những ngày tới. Người dùng được khuyến nghị theo dõi các kênh chính thức của KelpDAO, Aave và các nhà phân tích bảo mật như ZachXBT để cập nhật tình hình theo thời gian thực.