Khi chỉ một chữ ký cấu hình sai lầm đã tạo ra $292 triệu token từ hư không, toàn bộ khái niệm về tài chính không tin cậy trông có vẻ yếu hơn nhiều so với cái tên mà nó gợi ý.

Cách thức Tấn công Được Thực hiện

Vào ngày 18 tháng 4 năm 2026, một kẻ tấn công đã khai thác một lỗ hổng trong cầu nối đa chuỗi của KelpDAO - được hỗ trợ bởi LayerZero - để rút 116,500 token rsETH trị giá khoảng $292 triệu. Đó khoảng 18% tổng cung rsETH đang lưu hành, được tạo ra từ một lỗi không nằm trong giao thức của LayerZero mà là cách mà Kelp đã cấu hình nó.

Cấu hình dựa vào một điểm xác thực duy nhất để ủy quyền các thông điệp cross-chain. Kẻ tấn công đã phát hiện ra nó, khai thác nó, và một thông điệp đã được gửi đi mà không nên có. "Một chữ ký và 116,500 rsETH đã xuất hiện từ không khí trên Ethereum," như các nhà nghiên cứu đã mô tả sau này. Những token đó sau đó được sử dụng làm tài sản thế chấp để vay các tài sản thực - chủ yếu từ Aave - và đã bị rút hết trước khi giao thức có thể tạm dừng.

Dấu ấn của Nhóm Lazarus

Trong vòng ba ngày sau khi bị xâm phạm, công ty phân tích blockchain Chainalysis đã quy kết cuộc tấn công cho Nhóm Lazarus của Bắc Triều Tiên, dựa trên các mẫu sử dụng mixer và phương pháp phát tán quỹ khớp với phong cách hoạt động đã biết của nhóm. Việc quy kết này nhất quán với hồ sơ của Lazarus về việc nhắm đến các giao thức DeFi - họ đã là những kẻ trộm trên chuỗi nhiều nhất trong vài năm qua.

Quy mô của tổn thất khiến đây trở thành vụ khai thác DeFi lớn nhất năm 2026, vượt qua vụ hack Drift chỉ vài triệu đô la. Tổng tổn thất DeFi trong năm nay đã vượt qua 770 triệu đô la trên hơn 30 vụ việc - một con số khó có thể diễn giải được như là cơn đau trưởng thành của một ngành công nghiệp đang phát triển.

DeFi Tiến Hành Cứu Hộ

Những gì xảy ra sau đó, tùy thuộc vào góc nhìn của bạn, có thể là một màn trình diễn phối hợp ấn tượng hoặc một lời nhắc nhở rằng mạng lưới an toàn trong DeFi hoàn toàn phi chính thức.

Aave đã tập hợp một liên minh gọi là "DeFi United," kéo theo Lido Finance, EtherFi, và các giao thức lớn khác để đưa ETH nhằm bù đắp cho thiếu hụt còn lại trong các quỹ cho vay của Aave. Vào ngày 21 tháng 4, Hội đồng An ninh Mạng Arbitrum đã đóng băng 30,766 ETH - khoảng 71 triệu đô la - thuộc về kẻ tấn công, thu hồi khoảng 25% tài sản bị đánh cắp. Standard Chartered đã công bố một ghi chú gọi phản ứng của ngành này là dấu hiệu của sự kiên cường. Cộng đồng crypto rộng lớn hơn thì ít điềm tĩnh hơn, với một số người tuyên bố DeFi đã chết hoàn toàn.

Những gì cần thay đổi

Bài post-mortem của CoinDesk được công bố vào thứ Bảy chỉ ra rằng cầu nối cross-chain là liên kết yếu nhất của DeFi - một vấn đề mà ngành công nghiệp đã nhận thức được kể từ khi xảy ra các vụ khai thác Wormhole và Ronin cách đây nhiều năm. Mô hình này nhất quán: độ phức tạp của cầu nối tạo ra các bề mặt tấn công, và các động lực để đẩy nhanh tiến độ thường vượt qua các động lực để kiểm toán cẩn thận.

Điều khó chịu nhất trong sự cố này là nó không phải là một zero-day tinh vi. Đó là một lỗi cấu hình. Hạ tầng của LayerZero hoạt động như thiết kế - vấn đề là cách mà Kelp triển khai nó. Đó là một vấn đề khó giải quyết chỉ bằng các cuộc kiểm toán, vì nó có nghĩa là bất kỳ giao thức nào sử dụng hạ tầng chia sẻ cần phải xác minh không chỉ mã mà còn từng tham số điều khiển cách mà các thông điệp cross-chain được tin cậy và xác thực.

KelpDAO và Aave vẫn đang làm việc để phục hồi. Nhóm Lazarus, trong khi đó, ước tính có 292 triệu đô la tài sản để rửa tiền. Một số thứ trong crypto di chuyển nhanh hơn những thứ khác.

---------------

Tác giả: Ryan Gardner Bàn tin Silicon Valley

Đăng ký GCP trong một trình đọc