Nguy to rồi! DeFi cứ thế này thì bao giờ mới thay thế được ngân hàng?
Rạng sáng 19/04, hacker lừa cầu nối của KelpDAO giải phóng ra 116.500 rsETH, tương đương 292 triệu USD trong chưa đầy một phút.
Sự việc không dừng lại ở KelpDAO mà cháy lan sang cả Aave, nền tảng cho vay lớn nhất DeFi, rồi kéo theo cả loạt giao thức khác chẳng liên quan cũng vạ lây. TVL toàn mảng lending DeFi rơi từ 53,4 tỷ USD xuống dưới 42,5 tỷ USD. Gần 11 tỷ USD bốc hơi trong 2 ngày, tương đương hơn 20% cả ngành lending.
Đây là lúc niềm tin vào DeFi mong manh hơn bao giờ hết. Và người dùng cần hành động ngay để bảo vệ tài sản của mình.
Trước khi đi vào chi tiết vụ hack, bạn cần hiểu rsETH là gì. Đây là token mà người dùng nhận về khi gửi ETH vào Kelp DAO. Kelp mang số ETH đó đi stake qua EigenLayer để kiếm thêm lãi kép (restaking), còn rsETH là tài sản chứng nhận để người dùng có thể mang đi giao dịch hoặc thế chấp ở nơi khác trong khi ETH gốc mà người dùng gửi vào nền tảng vẫn đang sinh lời.
Kelp phát hành rsETH trên hơn 20 blockchain khác nhau. Nhưng tất cả phiên bản rsETH đó đều dựa vào một kho dự trữ ETH duy nhất nằm trên Ethereum, được trông giữ bởi cầu nối của Kelp. Cầu này chạy trên hạ tầng LayerZero. Như vậy là rsETH ở mỗi chain như Arbitrum, Base, Linea… thực chất chỉ là bản sao, còn ETH thật bảo chứng cho toàn bộ đều nằm trong cùng một kho bên Ethereum.
Hacker đã lợi dụng cơ chế trên để gửi một lệnh chuyển tiền giả mạo qua LayerZero, đánh lừa hệ thống tin rằng lệnh đó đến từ một mạng hợp lệ. Cầu của Kelp bị lừa và giải phóng 116.500 rsETH ~ 292 triệu USD trên Ethereum cho một ví do hacker kiểm soát, dù không hề có ETH tương ứng được khoá ở chain nguồn. Hiểu đơn giản là hacker lừa cầu Kelp tạo ra rsETH mà không cần bỏ một đồng ETH thật nào vào kho.
Theo công bố từ LayerZero, hacker trong vụ này có liên quan đến Lazarus Group, nhóm hacker khét tiếng của Bắc Triều Tiên và cũng là thủ phạm vụ Drift Protocol đầu tháng. Hacker không bẻ được code LayerZero, cũng không lấy được khóa bảo mật. Thay vào đó, chúng đầu độc chính nguồn dữ liệu mà hệ thống xác minh của Kelp đang đọc để kiểm tra giao dịch. Chi tiết kỹ thuật đầy đủ có thể xem tại báo cáo LayerZero.
Thám tử ZachXBT xác nhận vụ hack KelpDAO
Gốc rễ nằm ở hệ thống xác minh giao dịch của Kelp. Kelp dùng mô hình DVN (Decentralized Verifier Network) trên LayerZero, nhưng chỉ cấu hình ở mức 1/1, nghĩa là chỉ cần một validator duy nhất ký xác nhận là giao dịch đi qua mà không có lớp kiểm tra thứ hai. Chỉ cần một chữ ký đó bị giả mạo hoặc bị kiểm soát thì toàn bộ hệ thống sẽ bị ảnh hưởng.
Nguyên nhân của vụ hack KelpDAO
Theo thông tin được công bố đến hiện tại thì 5 Phút Crypto cần làm rõ rằng đây không phải lỗi của LayerZero. Họ chỉ là bên cung cấp dịch vụ, đưa ra nhiều mức bảo mật khác nhau để project tự chọn. Lỗi nằm ở chỗ Kelp đã chọn cấu hình rất lỏng lẻo. Với giao dịch vài trăm triệu USD, đúng ra phải có nhiều lớp xác minh độc lập, mỗi lớp một bên kiểm tra để nếu một bên bị xâm phạm thì còn bên khác chặn lại. Nếu Kelp dùng multi-DVN, ngay cả khi Lazarus Group đầu độc được DVN của LayerZero, các DVN độc lập khác cũng sẽ phát hiện sự bất nhất và từ chối giao dịch.
Đáng nói hơn, theo công bố của LayerZero, họ đã nhiều lần khuyến nghị Kelp chuyển sang multi-DVN, các bên thứ ba bên ngoài cũng từng gợi ý tương tự. Nhưng Kelp vẫn quyết định duy trì cấu hình 1/1 cho đến khi vụ việc xảy ra.
Aave là nạn nhân lớn nhất dù không bị hack
Sau khi lừa Kelp giải phóng rsETH, hacker mang số token vừa đúc từ hư không đem đổ vào Aave V3, dùng làm tài sản thế chấp để vay đồng WETH.
Kết quả là Aave giờ ôm một đống rsETH gần như vô giá trị làm thế chấp, trong khi WETH thật đã bị rút khỏi pool. Bình thường, khi người vay không trả được, giao thức sẽ bán tài sản thế chấp để thu hồi vốn. Nhưng rsETH giờ đã mất bảo chứng, gần như không còn giá trị, Aave đành ôm rsETH nhưng thu về không đủ bù khoản WETH đã cho vay. Phần hụt đó chính là nợ xấu (Riêng cặp rsETH đổi WETH trên Aave đã tạo ra khoảng 196 triệu USD nợ xấu). Hacker còn dùng chiêu tương tự trên Compound và Euler, đẩy tổng thiệt hại các nền tảng cho vay lên 236 triệu USD.
Thống kê số tiền hacker đã gây ảnh hưởng lên các nền tảng lending
Nghiêm trọng hơn là hacker đã vay cạn WETH trên AAVE, nhắm đúng vào điểm yếu chí mạng nhất của nền tảng này khi WETH là đồng chiếm tới 39,49% tổng dư nợ trên AAVE, nghĩa là gần 40% số tiền đang được vay trên toàn Aave đều dưới dạng WETH.
*WETH là phiên bản ETH được gói lại để chạy trong hệ sinh thái DeFi, ETH và WETH là một tài sản, đổi qua lại theo tỷ lệ 1:1. Vậy nên khi hacker vay cạn WETH, hắn đang hút sạch chính số ETH mà người dùng đã gửi vào pool trước đó.
Chưa kể là thông tin hack lan khắp cõi X, người dùng hoảng loạn, đổ xô muốn rút ETH về ví cho an toàn. Nhưng pool đã bị hacker hút gần sạch, những người đến sau không còn thanh khoản để rút. Nhiều người dùng buộc phải rút ETH gián tiếp bằng cách đi đường vòng khi dùng chính ETH mình đang gửi làm thế chấp, vay stablecoin ra, rồi mang stablecoin đó đi chỗ khác đổi lấy ETH.
Vấn đề là trong cơn tháo chạy, không chỉ WETH bị rút cạn. Các thị trường chính khác như USDT, USDC cũng lần lượt bị đẩy lên mức sử dụng 100%. Nghĩa là cả pool stablecoin vốn được xem là chỗ rút lui an toàn cũng không còn đồng nào để trả cho người gửi. Cách rút vòng qua stablecoin vì vậy cũng không còn hiệu quả với nhiều người. Đây chính là hiện tượng bank run trong truyền thống.
Kết quả là TVL Aave rơi từ 26,4 tỷ USD ngày 18/4 xuống còn khoảng 18 tỷ USD vào tối ngày 19/4, mất 8,4 tỷ USD trong một ngày. Token AAVE cũng rớt theo, giảm 16% về mức 92 USD.
Ban đầu, đội Aave nói quỹ dự phòng Umbrella sẽ lo hết khoản nợ xấu. Nhưng sau đó lại chuyển giọng điệu từ “sẽ bù” chuyển thành “tìm cách bù”. Nói cách khác, quỹ Umbrella có khả năng không đủ để đền bù và câu hỏi lớn nhất lúc đó là ai sẽ gánh khoản lỗ đó. Đồng sáng lập DefiLlama, 0xngmi đã phác ra 3 kịch bản Kelp có thể chọn để xử lý, và không có kịch bản nào êm đẹp.
Nhà sáng lập DefiLlama đưa ra hướng giải quyết vấn đề KelpDAO
Chia lỗ đều cho tất cả người cầm rsETH. Mỗi token rsETH sẽ bị cắt 18,5% giá trị. Khi giá trị thế chấp bị cắt đi như vậy, các khoản vay hacker đã tạo ra trên Aave lập tức trở thành nợ xấu, khoảng 216 triệu USD. Aave sẽ dùng quỹ dự phòng Umbrella bù 55 triệu, dùng kho tiền riêng của giao thức bù thêm 85 triệu. Vẫn còn thiếu 76 triệu. Phần này có thể phải đi vay hoặc bán số token AAVE Aave đang giữ để bù.
Bỏ rơi người cầm rsETH trên các chain L2, chỉ đảm bảo cho bản rsETH trên Ethereum. Aave sẽ mất khoảng 341 triệu USD nợ xấu, quỹ Umbrella không đền bù đồng nào. Aave có thể chọn cứu một số chain và để các chain khác tự sụp. Arbitrum, Mantle và Base là ba cái tên lỗ nặng nhất nếu hướng này được chọn.
Dùng một “snapshot” trước thời điểm hack để chỉ trả cho ai đang giữ rsETH lúc đó. Khả thi về mặt ý tưởng, nhưng cực khó thực thi vì tiền đã chạy qua lại rất nhiều sau vụ hack, các pool DeFi lại không có cách nào tách biệt từng người gửi theo thời gian.
Dù chọn hướng nào thì sẽ luôn có một nhóm người gửi tiền phải chịu thiệt. Và tổng thiệt hại chắc chắn không dừng lại ở 292 triệu USD mà niềm tin vào DeFi còn bị kéo sụp đâu đó, và điều này khó đo đếm được bằng số tiền cụ thể.
Làn sóng rút tiền lan ra những nơi không liên quan
Vụ hack KelpDAO càng làm suy giảm trầm trọng niềm tin vào DeFi giữa lúc tâm lý thị trường đang trong chuỗi ngày bi quan nhất lịch sử. Điều này dẫn đến làn sóng rút tiền ồ ạt trên những giao thức chẳng dính dáng gì đến vụ hack.
Số liệu rút ròng tính đến 0 giờ 40 sáng 20/4 (giờ Việt Nam):
Aave: -6.200 triệu USD (-23%)
Morpho: -716 triệu USD (-9%)
Sky: -272 triệu USD (-4%)
Kamino trên Solana: -180 triệu USD (-10%)
JupLend trên Solana: -76 triệu USD (-8%)
Điển hình là Kamino, giao thức cho vay lớn nhất Solana chẳng liên quan gì cũng bị cuốn vào vòng xoáy. TVL Kamino rơi từ 1,88 tỷ USD xuống còn 1,7 tỷ USD, mất khoảng 180 triệu USD chỉ trong ít giờ. Quỹ USDC Prime Market của Kamino với quy mô 178 triệu USD, đã cạn sạch thanh khoản. Lãi suất tiền gửi APY trên các thị trường USDC của Kamino tăng vọt vì người gửi đổ xô đi rút.
Pool USD trên Kamino bị rút cạn
Nhiều giao thức cho vay khác cũng rơi vào cảnh tương tự Aave khi người gửi không rút được tiền ra, lãi suất vay vọt lên 10-15%. TVL toàn mảng lending DeFi rơi từ 53,4 tỷ USD (18/4) xuống dưới 42,5 tỷ USD (20/4). Hơn 20% của cả ngành lending ~ 11 tỷ USD bốc hơi trong 2 ngày.
TVL Lending giảm mạnh sau vụ hack KelpDAO
Các giao thức còn lại cũng phải ra tay phòng ngừa. Lido là bên liên quan nhất, họ tạm dừng nhận tiền vào sản phẩm earnETH vì sản phẩm này có dính rsETH. SparkLend và Fluid đóng băng toàn bộ thị trường rsETH trên nền tảng. Ngay cả Ethena, dù không hề nắm rsETH, cũng đóng các cầu LayerZero từ Ethereum trong khoảng 6 tiếng cho chắc chắn.
Tháng 4 đẫm máu nhất lịch sử DeFi
Vụ Kelp chỉ là trường hợp nghiêm trọng nhất trong một chuỗi tấn công dày đặc suốt tháng 4:
1/4: Drift Protocol trên Solana mất 285 triệu USD. Vụ này dính nhóm hacker liên quan đến Bắc Triều Tiên, chuẩn bị nhiều tháng trước khi ra tay
Chưa kể một loạt vụ nhỏ hơn như CoW Swap, Zerion, Silo Finance cũng bị tấn công trong cùng giai đoạn. Cộng dồn lại, chỉ riêng tháng 4 đã có ít nhất 13 giao thức DeFi bị tấn công, tổng thiệt hại vượt 600 triệu USD.
TOP các vụ hack lớn kể từ đầu tháng 4/2026
Đáng lo hơn là tần suất hack đang dày đặc chưa từng có. Ryan Sean Adams, đồng sáng lập Bankless, cho rằng AI đang giúp hacker tấn công nhanh hơn và dễ hơn rất nhiều. Trong khi đó, tốc độ phòng thủ của ngành lại không theo kịp. Một phần có thể vì tâm lý thị trường u ám thời gian qua khiến các dự án lơ là phát triển khâu bảo mật hơn trước.
Người dùng DeFi nên làm gì bây giờ?
Nhìn lại lịch sử DeFi, mỗi lần thiệt hại lớn đều đi kèm một làn sóng xây lại tử tế hơn. Sau vụ Ronin và Wormhole, các cầu nối xuyên chuỗi đều phải thiết kế lại. Sau vụ Kelp, các dự án còn dùng mô hình xác minh một lớp chắc cũng phải siết lại cấu hình ngay. Có điều, niềm tin người dùng khi đã vỡ thì rất khó để hàn gắn. Đây là cái giá DeFi phải trả cho những năm tháng phát triển như vùng đất hoang dã.
Nếu đang có tài sản trên Aave hoặc các nền tảng cho vay khác, hãy theo dõi sát Utilization Rate. Đây là chỉ số cho biết pool đang được cho vay bao nhiêu phần trăm. Khi lên đến 100% nghĩa là pool đã cạn thanh khoản, anh em sẽ không rút được tiền. Chừng nào chỉ số này chưa hạ xuống dưới 100%, việc rút vẫn sẽ kẹt.
Hạn chế gửi tiền vào DeFi. Đặc biệt là những giao thức có dính tới các token kiểu rsETH, hoặc phụ thuộc vào cầu nối giữa các chain. Đây là những điểm dễ vỡ nhất trong hệ sinh thái hiện tại.
Chuyển tiền về ví cá nhân. Nhiều anh em nghĩ để trên các giao thức lớn như Aave là an toàn, nhưng cuối tuần qua đã chứng minh ngay cả Aave cũng có lúc người dùng không rút được tiền ra. Ví của mình thì mình chủ động.
Đừng ham lãi cao mà quên rủi ro. Những nền tảng trả lợi nhuận 15-20% trở lên thường đi kèm cấu trúc phức tạp, nhiều lớp, phụ thuộc lẫn nhau. Một mắt xích hỏng là mất cả gốc.
Không chỉ DeFi, thị trường CEX cũng chẳng an toàn hơn. Cùng thời điểm KelpDAO bị hack, RAVE coin đã tăng 10.000% rồi bốc hơi 96% chỉ sau 1 ngày bằng chiêu thao túng cảm xúc nhắm thẳng vào nhóm short seller tự tin nhất. Hack hay thao túng, kết quả đều giống nhau: người dùng mất tiền.
Nội dung trong bài viết chỉ mang tính chất cung cấp thông tin và chia sẻ quan điểm cá nhân, không phải là lời khuyên đầu tư. Bạn nên tự tìm hiểu kỹ trước khi đưa ra bất kỳ quyết định tài chính nào.
