Lỗ hổng cầu nối Kelp DAO hiện là vụ hack DeFi lớn nhất năm 2026, với khoảng 74,000 ETH bị rút qua một thông điệp liên chuỗi giả mạo duy nhất.
Kẻ tấn công đã khai thác một lỗ hổng trong chức năng lzReceive của LayerZero để đúc 116,500 rsETH trên chuỗi đích, sau đó sử dụng nó làm tài sản thế chấp trên Aave, Compound và Euler để vay ETH thực. Kelp đã tạm dừng các hợp đồng 46 phút sau đó. Aave đã đóng băng tất cả các thị trường rsETH.
Để có bối cảnh, điều này xếp hạng trong số các vụ khai thác cầu nối hàng đầu trong lịch sử DeFi, bên cạnh Ronin (624 triệu USD, 2022) và Wormhole (320 triệu USD, 2022).
Nợ xấu trên các giao thức bị ảnh hưởng đã vượt quá 236 triệu USD. AAVE giảm khoảng 10%.
Dữ liệu trên chuỗi cho thấy Justin Sun đã đổi 53,665 ETH (khoảng 126 triệu USD) từ Aave khoảng 5 giờ trước khi xảy ra vụ khai thác. Các quỹ vẫn nằm trong ví của anh ấy.
Các cuộc kiểm toán cầu nối hiện tại có đủ không? Bạn nghĩ sao?