🔥 292 triệu USD bay màu trong 1 phút — Vụ hack KelpDAO vừa phơi bày sự thật đau lòng về DeFi

Rạng sáng 19/4, hacker lừa cầu nối KelpDAO giải phóng 116.500 rsETH (~292 triệu USD) mà không cần bỏ một đồng ETH thật nào vào kho.

Thủ đoạn: Đầu độc nguồn dữ liệu xác minh của Kelp, lừa hệ thống tin rằng lệnh chuyển tiền đến từ mạng hợp lệ. Kelp chỉ dùng cấu hình xác minh 1/1 (một chữ ký duy nhất) thay vì multi-DVN như LayerZero khuyến nghị nhiều lần.

Kết quả: Hacker đổ rsETH giả vào Aave làm thế chấp, vay cạn WETH thật. Aave ôm 196 triệu USD nợ xấu, TVL rơi từ 26,4 tỷ xuống 18 tỷ USD trong 1 ngày.

🔴 Tác động lan rộng

- TVL toàn mảng lending DeFi: từ 53,4 tỷ → 42,5 tỷ USD (-20% trong 2 ngày)

- Kamino (Solana), Morpho, Sky, JupLend đều bị rút ròng dù không liên quan

- Pool USDC/WETH trên nhiều nền tảng cạn thanh khoản, lãi suất vọt 10-15%

- Hiện tượng bank run: người dùng không rút được tiền dù không bị hack

📊 Tháng 4 đẫm máu nhất lịch sử DeFi

- 1/4: Drift Protocol -285M USD

- 13/4: Hyperbridge -2,5M USD

- 16/4: Rhea Finance -18,4M USD, Grinex -15M USD

- 19/4: KelpDAO -292M USD

→ Tổng >600M USD trong 1 tháng, 13 giao thức bị tấn công

⚠️ 4 điều người dùng DeFi cần làm NGAY

1. Theo dõi Utilization Rate trên nền tảng lending — nếu 100% = không rút được tiền

2. Hạn chế gửi tiền vào giao thức có token kiểu rsETH hoặc phụ thuộc cầu nối

3. Chuyển tiền về ví cá nhân — ngay cả Aave cũng có lúc kẹt thanh khoản

4. Đừng ham lãi 15-20% mà quên rủi ro — cấu trúc phức tạp = rủi ro cao

💡 Bài học cốt lõi

Rủi ro lớn nhất trong DeFi không nằm ở công nghệ, mà nằm ở lòng tin đặt sai chỗ và cấu hình bảo mật lỏng lẻo. Kelp đã bỏ qua cảnh báo từ LayerZero về multi-DVN, và giờ cả ngành phải trả giá.

Niềm tin vào DeFi đang ở mức mong manh nhất. Câu hỏi đặt ra: Liệu DeFi có thể xây lại được niềm tin sau chuỗi thảm họa này?

#DeFi #KelpDAO #Aave #CryptoSecurity #DYOR