Vụ tấn công mạng trị giá khoảng 292 triệu đô la vào cuối tuần qua đã làm rung chuyển ngành công nghiệp tiền điện tử, phơi bày những lỗ hổng trong cơ sở hạ tầng tài chính phi tập trung (DeFi) và làm dấy lên lo ngại về những tác động dây chuyền đối với các giao thức cho vay.
Trong khi các cuộc điều tra vẫn đang tiếp diễn, phân tích ban đầu cho thấy cuộc tấn công tập trung vào Token rsETH của Kelp — một phiên bản ether sinh lời ( $ETH ) — và cơ chế được sử dụng để chuyển tài sản giữa các blockchain.
Kẻ tấn công dường như đã thao túng hệ thống đó để tạo ra một lượng lớn token mà không có tài sản đảm bảo hợp lệ, sau đó nhanh chóng sử dụng chúng làm tài sản thế chấp để vay mượn và rút cạn tài sản thực từ thị trường cho vay, chủ yếu từ AAVE , nền tảng cho vay tiền điện tử phi tập trung lớn nhất.
Vụ việc này là đòn giáng mạnh mới nhất vào DeFi, xảy ra chỉ vài tuần sau vụ khai thác lỗ hổng bảo mật trị giá 285 triệu đô la Mỹ của giao thức Drift dựa trên Solana, làm suy giảm thêm niềm tin của nhà đầu tư vào lĩnh vực tiền điện tử trị giá gần 90 tỷ đô la Mỹ.
Cách thức cuộc tấn công diễn ra
Nhìn chung, lỗ hổng này nhắm vào một thành phần cầu nối LayerZero — một phần cơ sở hạ tầng cho phép tài sản di chuyển giữa các blockchain khác nhau, Charles Guillemet, CTO của nhà sản xuất ví phần cứng Ledger, cho biết trong một ghi chú gửi CoinDesk.
Các cầu nối thường hoạt động bằng cách khóa tài sản trên một chuỗi và tạo ra các token tương đương trên một chuỗi khác. Quá trình đó phụ thuộc vào một thực thể đáng tin cậy — thường được gọi là oracle hoặc validator — để xác nhận các khoản tiền gửi.
Trong trường hợp này, Kelp đóng vai trò như một bên xác minh hiệu quả. Theo Guillemet, hệ thống dựa trên thiết lập người ký duy nhất, nghĩa là chỉ một thực thể duy nhất có thể phê duyệt bất kỳ giao dịch nào.
"Có vẻ như kẻ tấn công đã có thể ký một tin nhắn… cho phép hắn Mint một lượng lớn rsETH," ông nói. Ông nói thêm rằng vẫn chưa rõ làm thế nào mà hắn có được quyền truy cập đó.
Michael Egorov, người sáng lập Curve Finance, cũng chỉ ra điểm yếu tương tự trong cấu hình của hệ thống.
"Những chuyện không hay có thể xảy ra khi bạn tin tưởng chỉ một người duy nhất — bất kể người đó là ai."
Cấu hình đó cho phép kẻ tấn công tạo ra các token không được bảo đảm, ngay cả khi không có tài sản tương ứng nào bị khóa trên chuỗi nguồn.
Ngay sau khi được tạo ra, các token này đã nhanh chóng được triển khai. Kẻ tấn công "ngay lập tức gửi chúng vào các giao thức cho vay, chủ yếu là AAVE, để vay $ETH thật", Guillemet giải thích.
Động thái đó đã chuyển vấn đề từ một lỗ hổng bảo mật đơn lẻ thành một vấn đề thị trường rộng lớn hơn. Các nền tảng cho vay DeFi hiện đang nắm giữ tài sản thế chấp khó có thể thu hồi, trong khi các tài sản có giá trị và tính thanh khoản cao đã bị rút cạn.
"AAVE chỉ còn lại rsETH, thứ không thể thực sự bán được, và maxborrowed $ETH , vì vậy không ai có thể rút $ETH ," Egorov của Curve cho biết.
Do đó, AAVE và các giao thức cho vay khác có thể đang nắm giữ hàng trăm triệu đô la tài sản thế chấp đáng ngờ và nợ xấu, ông cảnh báo, làm dấy lên lo ngại về khả năng xảy ra hiện tượng "rút tiền ồ ạt" khi người dùng ồ ạt rút tiền.
AAVE đã chứng kiến khoảng 6 tỷ đô la giá trị tài sản giảm trên giao thức khi người dùng rút tài sản của họ sau sự cố. Token liên kết với giao thức này đã giảm khoảng 15% trong 24 giờ giao dịch vừa qua.
Những điều chúng ta vẫn chưa biết
Vẫn còn nhiều câu hỏi quan trọng xoay quanh việc hệ thống xác thực bị xâm phạm như thế nào. Hệ thống này dựa vào node chính thức của LayerZero, làm dấy lên sự không chắc chắn về việc liệu nó bị tấn công, cấu hình sai hay bị đánh lừa.
"Có phải nó bị hack không? Hay là bị lừa? Chúng tôi không biết," Egorov nói.
Danh tính của kẻ tấn công vẫn chưa được xác định, mặc dù Guillemet cho biết quy mô của vụ tấn công cho thấy thủ phạm có trình độ cao.
"Rõ ràng đây không phải là mấy thằng nhóc Script ," ông nói.
Đây là một đòn giáng mạnh vào niềm tin vào DeFi.
Ngoài những tổn thất trước mắt, vụ việc này còn là lời nhắc nhở rằng khi DeFi ngày càng trở nên kết nối chặt chẽ hơn, những sai sót ở một lớp có thể nhanh chóng lan rộng khắp hệ thống.
Egorov lập luận rằng các mô hình cho vay không tách biệt, trong đó tài sản chia sẻ rủi ro giữa các nhóm, sẽ khuếch đại tác động của những sự kiện như vậy.
Ông cũng chỉ ra những thiếu sót trong cách thức tiếp nhận tài sản mới vào các nền tảng cho vay, cho rằng các cấu hình như thiết lập xác minh 1-trong-1 của Kelp đáng lẽ phải được cảnh báo sớm hơn.
Tuy nhiên, Egorov cho rằng vẫn có mặt tích cực. "Môi trường tiền điện tử rất khắc nghiệt, không ngân hàng nào có thể tồn tại được — nhưng chúng tôi vẫn đang hoạt động trong môi trường đó," ông nói. "Tôi nghĩ DeFi sẽ học hỏi từ sự cố này và trở nên mạnh mẽ hơn trước."
Tuy nhiên, ngay cả khi những sự cố như thế này dẫn đến việc nâng cấp và thiết kế lại giao thức, chúng cũng làm suy giảm niềm tin của nhà đầu tư vào lĩnh vực DeFi nói chung.
"Tóm lại, niềm tin vào các giao thức DeFi đã bị xói mòn bởi những sự kiện như thế này," Guillemet nói.
"Và năm 2026 rất có thể sẽ lại là năm tồi tệ nhất về số vụ tấn công mạng", ông nói thêm.
Đọc thêm: ' DeFi đã chết': cộng đồng tiền điện tử hoảng loạn sau vụ hack lớn nhất năm nay phơi bày rủi ro lây lan
