Kelp DAO đang đối mặt với một cuộc khủng hoảng bảo mật lớn sau khi một vụ tấn công khai thác trên cầu nối rsETH đa chuỗi đã rút khoảng 116.500 rsETH, trị giá khoảng 292 triệu đô la tại thời điểm vụ tấn công. Dựa trên các báo cáo và dữ liệu on‑chain, kẻ tấn công dường như đã sử dụng tin nhắn LayerZero để kích hoạt việc giải phóng quỹ từ hệ thống cầu nối của Kelp DAO. Sự việc nhanh chóng lan rộng khắp các thị trường tiền mã hoá vì rsETH được sử dụng rộng rãi trong DeFi, đặc biệt là làm tài sản thế chấp trong các nền tảng cho vay.
Trường hợp này quan trọng vì rsETH là một token restaking thanh khoản. Điều đó có nghĩa là người dùng nạp tài sản liên quan đến việc staking Ethereum và nhận được một token mà họ có thể di chuyển, giao dịch hoặc sử dụng trong DeFi trong khi vẫn duy trì rủi ro staking. Kelp DAO đã xây dựng rsETH để hoạt động trên nhiều blockchain, và đó là nơi rủi ro tăng lên. Tiêu chuẩn OFT của LayerZero, hay Omnichain Fungible Token, được thiết kế để di chuyển một token qua nhiều chuỗi trong khi giữ một nguồn cung chung. Điều này giúp việc sử dụng đa chuỗi dễ dàng hơn, nhưng cũng đồng nghĩa với việc an ninh của cầu nối trở thành yếu tố trung tâm cho sự an toàn của token.
Các báo cáo cho biết vụ rút tiền thành công đầu tiên diễn ra vào 17:35 UTC. Kelp DAO sau đó đã sử dụng đa ký emergency pauser khoảng 46 phút sau để đóng băng các hợp đồng cốt lõi. Lệnh dừng này dường như đã ngăn chặn hai nỗ lực tiếp theo rút thêm 40.000 rsETH. Kelp cho biết đã phát hiện hoạt động đa chuỗi đáng ngờ và đang hợp tác với LayerZero, Unichain, các công ty kiểm toán và các chuyên gia bảo mật bên ngoài để điều tra nguyên nhân gốc rễ. Nói một cách đơn giản, vụ tấn công dường như đã nhắm vào logic cầu nối cho phép rsETH di chuyển giữa các mạng, chứ không phải một ví thông thường hay lỗi giao diện người dùng đơn giản.
Vụ tấn công cũng gây lo ngại vì ví liên quan đến khai thác được cho là đã nhận tài trợ qua Tornado Cash trước sự kiện. Trong các vụ tấn công DeFi, điều này thường là dấu hiệu của nỗ lực che giấu nguồn tiền. Nhà điều tra blockchain ZachXBT đã đánh dấu vụ tấn công ngay sau khi nó xảy ra, và các nhà quan sát thị trường bắt đầu tập trung vào mức độ ảnh hưởng tới nguồn cung rsETH. Các báo cáo cho biết số tiền bị đánh cắp chiếm khoảng 18 % lưu thông rsETH, đủ lớn để tạo áp lực lên các thị trường cho vay, các nguồn dữ liệu giá và các hệ thống rủi ro.
Đó là lý do tại sao Aave hành động nhanh chóng. Aave đã đóng băng các thị trường rsETH trên V3 và V4 và khẳng định các hợp đồng thông minh của mình không phải là nguồn gốc của vụ tấn công. Vấn đề lớn hơn đối với Aave là nợ xấu. Trong cho vay, nợ xấu có thể xuất hiện khi tài sản thế chấp mất giá hoặc không thể thanh lý kịp thời. Tài liệu của Aave lưu ý rằng rủi ro cầu nối và rủi ro mạng có thể góp phần vào vấn đề này. Hệ thống Umbrella của họ được xây dựng như một công cụ rủi ro tự động trên chuỗi nhằm giúp bù đắp các khoản thâm hụt, mặc dù Aave sau đó đã điều chỉnh cách diễn đạt công khai và cho biết sẽ tìm cách bù đắp bất kỳ khoản thiếu hụt nào từ sự kiện này.
Đây cũng không phải là lần đầu tiên rsETH gặp vấn đề. Kelp DAO đã có một sự cố khác vào tháng 4 năm 2025, khi họ tạm dừng gửi và rút tiền sau khi một lỗi trong hợp đồng phí gây ra việc đúc rsETH vượt mức. Kelp cho biết không có quỹ người dùng nào bị mất trong vụ việc trước đó, nhưng vụ khai thác mới nghiêm trọng hơn nhiều vì dường như liên quan đến mất trực tiếp quỹ ở quy mô lớn. Lịch sử này quan trọng. Trong crypto, một sự cố có thể được xem là một sai lầm. Hai sự cố trong vòng một năm đặt ra những câu hỏi khó hơn về thiết kế, kiểm thử và kiểm soát hoạt động.
Bài học lớn từ vụ tấn công Kelp DAO là rủi ro DeFi không dừng lại ở một giao thức duy nhất. Một cuộc tấn công cầu nối có thể ảnh hưởng đến một token, sau đó lan rộng vào các thị trường cho vay, và cuối cùng ảnh hưởng đến người dùng chưa từng chạm tới cầu nối. Đó là chi phí ẩn của tính khả hợp (composability). Các hệ thống như Kelp DAO, LayerZero và Aave được xây dựng để kết nối các thị trường crypto, nhưng các kết nối mạnh mẽ cũng mang lại áp lực nhanh hơn khi có sự cố. Đối với người dùng, vụ tấn công Kelp DAO là lời nhắc rằng token restaking thanh khoản, token đa chuỗi và lợi suất DeFi có thể mang lại tính linh hoạt, nhưng chúng cũng thêm các lớp rủi ro hợp đồng thông minh, rủi ro cầu nối và rủi ro tài sản thế chấp, có thể đồng thời thất bại.
