Một vụ khai thác khoảng 292 triệu USD vào cuối tuần đã khiến ngành công nghiệp tiền mã hóa chao đảo, phơi bày các lỗ hổng trong cơ sở hạ tầng tài chính phi tập trung (DeFi) và làm dấy lên lo ngại về các hệ quả lan truyền đến các giao thức cho vay.
Trong khi các cuộc điều tra vẫn đang tiếp diễn, phân tích ban đầu cho thấy cuộc tấn công tập trung vào token rsETH của Kelp — một phiên bản sinh lợi của ether (ETH) — và cơ chế được sử dụng để di chuyển tài sản giữa các blockchain.
Kẻ tấn công dường như đã thao túng hệ thống đó để tạo ra số lượng lớn token mà không có sự bảo đảm phù hợp, sau đó nhanh chóng sử dụng chúng làm tài sản thế chấp để vay và rút cạn các tài sản thực từ các thị trường cho vay, chủ yếu từ Aave AAVE$90.11, tổ chức cho vay phi tập trung lớn nhất trong lĩnh vực tiền mã hóa.
Sự cố này là đòn đánh mới nhất vào DeFi, xảy ra chỉ vài tuần sau vụ khai thác $285 triệu vào giao thức dựa trên Solana là Drift, làm suy giảm thêm niềm tin của nhà đầu tư vào ngành công nghiệp tiền điện tử gần $90 tỷ.
Ở cấp độ cao, vụ khai thác nhắm vào thành phần cầu LayerZero — một bộ phận cơ sở hạ tầng cho phép tài sản di chuyển giữa các blockchain khác nhau, Charles Guillemet, CTO của nhà sản xuất ví phần cứng Ledger, cho biết trong một ghi chú gửi đến CoinDesk.
Các cầu thường hoạt động bằng cách khóa tài sản trên một chuỗi và tạo ra các token tương đương trên chuỗi khác. Quá trình này phụ thuộc vào một thực thể đáng tin cậy — thường được gọi là oracle hoặc validator — để xác nhận các khoản nạp.
Trong trường hợp này, Kelp đã đóng vai trò là người xác minh đó. Theo Guillemet, hệ thống dựa vào thiết lập một người ký, nghĩa là chỉ một thực thể có thể phê duyệt bất kỳ giao dịch nào.
“Có vẻ như kẻ tấn công đã có thể ký một thông điệp… cho phép anh ta tạo ra một số lượng lớn rsETH,” anh ấy nói. Anh ấy thêm rằng vẫn chưa rõ cách thức nào đã giúp kẻ đó có được quyền truy cập đó.
Michael Egorov, người sáng lập Curve Finance, đã chỉ ra điểm yếu tương tự trong cấu hình hệ thống.
Những chuyện có thể xảy ra khi bạn tin tưởng vào một bên duy nhất — bất kể đó là ai.
Cài đặt đó cho phép kẻ tấn công tạo ra các token không được đảm bảo, ngay cả khi không có tài sản tương ứng bị khóa trên chuỗi nguồn.
Sau khi được đúc, các token đã được triển khai nhanh chóng. “Ngay lập tức, kẻ tấn công gửi chúng vào các giao thức cho vay, chủ yếu là Aave để vay ETH thật đổi lấy chúng,” Guillemet giải thích.
Thao tác đó đã chuyển vấn đề từ một lỗ hổng đơn lẻ thành một vấn đề thị trường rộng lớn hơn. Các nền tảng cho vay DeFi hiện đang phải giữ tài sản đảm bảo có thể khó thu hồi, trong khi các tài sản có giá trị và thanh khoản cao đã bị rút cạn.
"Aave đã còn lại rsETH, loại không thể bán thực sự và ETH maxborrowed [sic], nên không ai có thể rút ETH," Egorov của Curve nói.
Do đó, Aave và các giao thức cho vay khác có thể đang nắm giữ hàng trăm triệu đô la tài sản đảm bảo đáng ngờ và nợ xấu, ông cảnh báo, làm dấy lên lo ngại về nguy cơ xảy ra tình huống “chạy ngân hàng” khi người dùng ồ ạt rút tiền.
Aave ghi nhận khoảng $6 tỷ giảm trong tài sản trên giao thức khi người dùng rút tài sản sau sự cố. token liên quan đến giao thức giảm khoảng 15% trong vòng 24 giờ giao dịch gần đây.
Các câu hỏi quan trọng vẫn còn xung quanh cách nút mạng xác thực bị xâm phạm. Hệ thống dựa vào nút mạng chính thức của LayerZero, gây ra sự không chắc chắn về việc liệu nó có bị tấn công, cấu hình sai hay bị lừa dối hay không.
“Có phải bị tấn công không? Có phải bị lừa không? Chúng tôi không biết,” Egorov nói.
Đồng thời, danh tính của kẻ tấn công cũng chưa được xác định, mặc dù Guillemet cho rằng quy mô của cuộc tấn công cho thấy một thực thể tinh vi.
“Rõ ràng không phải là những kẻ dùng script nghiệp dư,” anh ấy nói.
Ngoài những tổn thất ngay lập tức, sự việc này là lời nhắc nhở khác rằng khi DeFi trở nên liên kết chặt chẽ hơn, các sự cố ở một lớp có thể nhanh chóng lan truyền khắp hệ thống.
Egorov cho rằng các mô hình cho vay không cô lập, nơi tài sản chia sẻ rủi ro giữa các nhóm, làm gia tăng tác động của các sự kiện như vậy.
Anh ấy cũng chỉ ra những điểm yếu trong cách các tài sản mới được tích hợp vào các nền tảng cho vay, cho rằng các cấu hình như thiết lập người xác minh 1-of-1 của Kelp nên đã được phát hiện sớm hơn.
Tuy nhiên, Egorov cho biết vẫn có một điểm sáng. “Tiền mã hóa là một môi trường khắc nghiệt mà không ngân hàng nào có thể tồn tại — nhưng chúng tôi đang làm việc với nó,” ông nói. “Tôi nghĩ DeFi sẽ học được bài học từ sự kiện này và trở nên mạnh mẽ hơn trước.”
Tuy nhiên, ngay cả khi những sự việc như vậy dẫn đến các bản nâng cấp và thiết kế lại giao thức, chúng cũng làm suy giảm niềm tin của nhà đầu tư vào toàn bộ lĩnh vực DeFi.
“Nhìn chung, niềm tin vào các giao thức DeFi bị suy giảm bởi sự kiện loại này,” Guillemet nói.
“Và năm 2026 rất có khả năng sẽ là năm tệ nhất về các vụ tấn công, một lần nữa,” anh ấy bổ sung.
Đọc thêm: 'DeFi đã chết': cộng đồng tiền điện tử lao đao sau vụ hack lớn nhất năm nay phơi bày rủi ro lây lan