Cơ bản
Giao ngay
Giao dịch tiền điện tử một cách tự do
Giao dịch ký quỹ
Tăng lợi nhuận của bạn với đòn bẩy
Chuyển đổi và Đầu tư định kỳ
0 Fees
Giao dịch bất kể khối lượng không mất phí không trượt giá
ETF
Sản phẩm ETF có thuộc tính đòn bẩy giao dịch giao ngay không cần vay không cháy tải khoản
Giao dịch trước giờ mở cửa
Giao dịch token mới trước niêm yết
Futures
Truy cập hàng trăm hợp đồng vĩnh cửu
TradFi
Vàng
Một nền tảng cho tài sản truyền thống
Quyền chọn
Hot
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Giao dịch demo
Giới thiệu về Giao dịch hợp đồng tương lai
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Tham gia sự kiện để nhận phần thưởng
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
Launch
CandyDrop
Sưu tập kẹo để kiếm airdrop
Launchpool
Thế chấp nhanh, kiếm token mới tiềm năng
HODLer Airdrop
Nắm giữ GT và nhận được airdrop lớn miễn phí
Pre-IPOs
Mở khóa quyền truy cập đầy đủ vào các IPO cổ phiếu toàn cầu
Điểm Alpha
Giao dịch trên chuỗi và nhận airdrop
Điểm Futures
Kiếm điểm futures và nhận phần thưởng airdrop
Đầu tư
Simple Earn
Kiếm lãi từ các token nhàn rỗi
Đầu tư tự động
Đầu tư tự động một cách thường xuyên.
Sản phẩm tiền kép
Kiếm lợi nhuận từ biến động thị trường
Soft Staking
Kiếm phần thưởng với staking linh hoạt
Vay Crypto
0 Fees
Thế chấp một loại tiền điện tử để vay một loại khác
Trung tâm cho vay
Trung tâm cho vay một cửa
#KelpDAOBridgeHacked
Hệ sinh thái tài chính phi tập trung đã chứng kiến một trong những thất bại an ninh nghiêm trọng nhất từ trước đến nay. Kelp DAO, một giao thức đặt lại thanh khoản nổi bật, đã bị khai thác tàn khốc nhắm vào cầu nối cross-chain rsETH của nó. Trong vòng vài phút, khoảng 116.500 rsETH—được định giá từ $292 triệu đến $293 triệu—đã bị rút sạch, chiếm gần 18% tổng cung lưu hành của token. Sự cố này hiện là vụ hack DeFi lớn nhất ghi nhận vào năm 2026.
Lỗ hổng bắt nguồn từ hạ tầng cầu nối của Kelp DAO, dựa vào hệ thống nhắn tin cross-chain của LayerZero. Cụ thể, kẻ tấn công đã khai thác chức năng lzReceive trong hợp đồng EndpointV2. Bằng cách tạo ra và chèn một tin nhắn cross-chain giả mạo, kẻ tấn công đã vượt qua các kiểm tra xác thực. Hệ thống bị lừa để nhận diện tin nhắn là hợp lệ, kích hoạt việc phát hành trái phép quỹ vào ví do kẻ tấn công kiểm soát.
Điều làm cho cuộc tấn công đặc biệt đáng lo ngại là cách nó tận dụng hành vi tiêu chuẩn của giao thức thay vì một lỗ hổng phức tạp. Các nhà phân tích cho rằng việc phụ thuộc quá nhiều vào cấu hình mặc định và các lớp xác thực không đủ trong hệ thống nhắn tin đã đóng vai trò then chốt. Việc chuẩn bị của kẻ tấn công cũng có chủ đích—ví dụ, ví dùng trong vụ khai thác đã được nạp tiền qua Tornado Cash khoảng 10 giờ trước đó, một chiến thuật thường dùng để che giấu nguồn gốc giao dịch và gây khó khăn cho việc truy vết.
Tính chất cross-chain của cầu nối đã làm tăng mức độ thiệt hại. Với rsETH được triển khai trên mạng chính Ethereum và nhiều mạng Layer-2 như Arbitrum, vụ khai thác nhanh chóng lan rộng qua các hệ sinh thái. Sự phơi nhiễm đa chuỗi này đã làm tăng tốc độ và quy mô của tổn thất.
Kelp DAO phản ứng nhanh chóng sau khi phát hiện hoạt động bất thường. Nhóm ngay lập tức tạm dừng các hợp đồng rsETH trên mạng chính và một số môi trường Layer-2, nhằm ngăn chặn thiệt hại thêm, ước tính vượt quá $100 triệu. Trong tuyên bố ban đầu, họ xác nhận đang hợp tác tích cực với các đối tác hạ tầng, kiểm toán viên và chuyên gia an ninh để tiến hành điều tra toàn diện.
Dù phản ứng nhanh, hậu quả vẫn rất nghiêm trọng. Vụ khai thác đã gây ra hoảng loạn lan rộng trên thị trường DeFi, dẫn đến khủng hoảng thanh khoản. Người dùng đổ xô rút tiền, tạo ra hiệu ứng “rút tiền hàng loạt”. Các nền tảng cho vay lớn, bao gồm Aave, đã thực hiện các biện pháp khẩn cấp như đóng băng thị trường. Khoảng $9 tỷ đô la—gần một phần ba tổng giá trị bị khóa của Aave—đã bị rút trong thời gian ngắn, dẫn đến thiệt hại ước tính từ $196 triệu đến $236 triệu đô la nợ xấu.
Các giao thức khác, bao gồm SparkLend, Fluid, Upshift và Morpho, cũng gặp áp lực đáng kể. Trong toàn bộ hệ sinh thái, tổng giá trị bị khóa giảm khoảng $8 tỷ đô la đến $13 tỷ đô la trong vòng 48 giờ. Những cú sốc này còn lan rộng ra ngoài Ethereum, ảnh hưởng đến các pool thanh khoản trên các chuỗi khác, bao gồm Solana.
Đã xuất hiện suy đoán về khả năng liên quan của nhóm Lazarus, một tổ chức tội phạm mạng liên kết với Triều Tiên nổi tiếng nhắm vào các nền tảng crypto. Trong khi một số chỉ số trên chuỗi cho thấy khả năng liên kết, chưa có xác nhận chính thức nào được đưa ra.
Trong khi đó, kẻ tấn công đã bắt đầu di chuyển quỹ, hoán đổi một phần sang ETH trên các mạng khác để làm phức tạp quá trình truy vết.
Sự cố này nhấn mạnh một mối lo ngại lâu dài trong DeFi: các cầu nối cross-chain vẫn là một trong những thành phần dễ bị tổn thương nhất của hạ tầng blockchain. Trong khi chúng cho phép khả năng tương tác liền mạch, chúng cũng tạo ra các bề mặt tấn công quan trọng—đặc biệt khi các cơ chế xác thực tin nhắn không đủ mạnh.
Vụ khai thác của Kelp DAO là một cảnh báo rõ ràng. Nó nhấn mạnh sự cấp thiết của việc cải thiện các khung an ninh, bao gồm hệ thống xác thực đa lớp, logic xác thực chặt chẽ hơn và các thực hành quản lý rủi ro tốt hơn. Khi cuộc điều tra tiếp tục, ngành công nghiệp hiện đang chờ đợi báo cáo phân tích toàn diện của Kelp DAO, dự kiến sẽ cung cấp những hiểu biết sâu sắc hơn về thất bại và đề xuất các bước để ngăn chặn các sự cố tương tự trong tương lai.
📌 Chi tiết:
https://www.gate.com/announcements/article/50593
#GateSquare #CreatorCarnival #ContentMining #Gate13周年