Một sự cố bảo mật nghiêm trọng vừa xảy ra với hệ sinh thái restaking trên Ethereum khi Kelp DAO trở thành mục tiêu của một vụ tấn công quy mô lớn, gây thiệt hại ước tính lên tới 293 triệu USD và kéo theo ảnh hưởng dây chuyền tới giao thức lending Aave. Theo dữ liệu on-chain được cộng đồng phân tích trong những giờ đầu sau sự kiện, kẻ tấn công đã rút toàn bộ 116.500 rsETH – loại token đại diện cho ETH sau khi staking trên Kelp DAO – thông qua cầu nối cross-chain của dự án trước khi phân tán tài sản sang nhiều ví và xả dần ra thị trường.
Diễn biến của vụ hack cho thấy lỗ hổng nằm ở cơ chế cầu nối cross-chain – thành phần quan trọng giúp rsETH có thể di chuyển giữa nhiều blockchain khác nhau. Đây vốn là một trong những tính năng cốt lõi giúp Kelp DAO phát triển nhanh chóng trong làn sóng restaking Ethereum, khi nhu cầu tối ưu lợi suất staking tăng mạnh trong năm qua. Tuy nhiên, chính điểm kết nối liên chuỗi này đã trở thành mắt xích yếu bị khai thác. Tổng lượng tài sản bị ảnh hưởng lên tới 116.500 rsETH, tương đương khoảng 18% tổng nguồn cung lưu hành khoảng 630.000 rsETH – một con số đủ lớn để gây rung chuyển toàn bộ hệ sinh thái liên quan.
Đáng chú ý, đội ngũ Kelp DAO đã phát hiện và phản ứng khá nhanh. Chỉ khoảng 45 phút sau khi giao dịch rút tiền đầu tiên được thực hiện, dự án đã kích hoạt cơ chế khẩn cấp, ngay lập tức tạm dừng mọi hoạt động nạp, rút và giao dịch liên quan tới rsETH. Động thái này đã giúp chặn đứng thêm hai giao dịch rút tiền tiếp theo mà hacker đang chuẩn bị thực hiện, qua đó hạn chế phần nào thiệt hại có thể tiếp tục gia tăng.
