Vụ tấn công DeFi trị giá 292 triệu USD liên quan đến Kelp DAO đang làm lộ rõ những điểm yếu trong hạ tầng cross-chain, đồng thời kéo theo rủi ro lan rộng sang các giao thức lớn như Aave, khiến thị trường DeFi thêm phần bất ổn.
Sự cố xảy ra ngày 18/4 khi cầu nối cross-chain của Kelp DAO, sử dụng công nghệ LayerZero, bị khai thác và mất khoảng 116.500 rsETH. Đây hiện là vụ hack DeFi lớn nhất từ đầu năm 2026.
Theo báo cáo ban đầu từ LayerZero, tin tặc – được cho là nhóm Lazarus của Triều Tiên – đã xâm nhập hệ thống thông qua việc kiểm soát danh sách node RPC trong mạng xác thực DVN. Sau đó, chúng “đầu độc” hai node và thực hiện tấn công DDoS để khiến hệ thống chấp nhận một thông điệp cross-chain giả, từ đó ký giao dịch gian lận.
LayerZero chỉ trích Kelp DAO đã sử dụng cấu hình DVN “1-of-1”, tức chỉ có một thực thể xác thực, tạo ra điểm lỗi đơn (single point of failure) nghiêm trọng.
— LayerZero (@LayerZero_Core) April 20, 2026
Tuy nhiên, Kelp DAO nhanh chóng phản bác. Trong tuyên bố mới nhất, dự án cho rằng chính LayerZero đã cung cấp cấu hình này như thiết lập mặc định trong tài liệu kỹ thuật. “Đây là cấu hình được ghi nhận trong documentation và được triển khai mặc định cho các dự án mới”, Kelp khẳng định, đồng thời cho biết cấu hình này từng được xác nhận là “phù hợp” trong quá trình làm việc giữa hai bên.
Tranh cãi giữa hai dự án cho thấy một vấn đề lớn của DeFi: ranh giới trách nhiệm giữa hạ tầng và ứng dụng vẫn còn mơ hồ, đặc biệt trong các hệ thống cross-chain phức tạp.
Trong khi đó, tác động của vụ hack không dừng lại ở Kelp DAO mà đã lan sang Aave – một trong những giao thức lending lớn nhất thị trường.
Theo báo cáo của Aave, hacker đã mang khoảng 89.567 rsETH (tương đương 221 triệu USD) làm tài sản thế chấp để vay ra lượng lớn WETH và wstETH. Điều này khiến các vị thế vay rơi vào trạng thái rủi ro cao, với hệ số an toàn (health factor) rất thấp.
Aave đã xây dựng hai kịch bản nợ xấu có thể xảy ra.
— Kelp (@KelpDAO) April 20, 2026
Trong kịch bản thứ nhất, nếu tổn thất được “chia đều” trên toàn hệ thống, rsETH sẽ mất giá khoảng 15%, kéo theo khoản nợ xấu ước tính 123,7 triệu USD. Dù Ethereum mainnet chịu thiệt hại lớn nhất về giá trị tuyệt đối, tỷ lệ thiếu hụt vẫn ở mức có thể kiểm soát.
Ngược lại, kịch bản thứ hai giả định tổn thất chỉ tập trung ở các mạng Layer 2. Khi đó, tài sản thế chấp trên L2 có thể bị “haircut” tới hơn 70%, khiến tổng nợ xấu tăng vọt lên khoảng 230 triệu USD, đặc biệt ảnh hưởng đến các hệ sinh thái như Mantle, Arbitrum và Base.
Aave cho biết hướng đi cuối cùng sẽ phụ thuộc vào cách Kelp DAO xử lý tổn thất và cập nhật tỷ giá rsETH – những yếu tố nằm ngoài quyền kiểm soát của giao thức.
Dù vậy, Aave vẫn nhấn mạnh rằng hệ thống của họ có nền tảng tài chính tương đối vững, với khoảng 181 triệu USD tài sản và một quỹ dự phòng có thể đóng vai trò “lá chắn” ban đầu.
Vụ việc một lần nữa cho thấy rủi ro mang tính hệ thống trong DeFi, nơi một lỗ hổng kỹ thuật ở một giao thức có thể nhanh chóng lan rộng sang toàn bộ hệ sinh thái. Trong bối cảnh đó, câu chuyện không chỉ là lỗi thuộc về ai, mà là cách toàn thị trường nâng cấp tiêu chuẩn an toàn cho DeFi.