David Schwartz, CTO danh dự của Ripple, cho biết lỗ hổng của Kelp DAO phản ánh một vấn đề rộng lớn hơn trong cơ sở hạ tầng liên chuỗi. Ông chỉ ra rằng nhiều hệ thống cầu nối đều cung cấp các biện pháp bảo vệ mạnh mẽ, nhưng các đội ngũ thường được khuyến khích sử dụng các giải pháp đơn giản hơn để giảm chi phí vận hành. Trước đó, cầu nối rsETH của Kelp DAO đã bị tấn công vào ngày 18 tháng 4, với khoảng 116.500 rsETH bị đánh cắp, đây là một trong những tổn thất DeFi lớn nhất tính đến nay trong năm 2026. Phát biểu của ông đã tái thúc đẩy sự quan tâm đến cách các nhà vận hành cầu nối cân bằng giữa tốc độ, chi phí và bảo mật khi triển khai các sản phẩm liên quan đến các hồ vốn lớn.
Ripple's Chief Technology Officer links RLUSD review to security choices
David Schwartz cho biết, khi đánh giá các phương án của RLUSD, ông đã xem xét nhiều hệ thống cầu DeFi và tập trung vào rủi ro và tính bảo mật. Ông viết rằng nhiều hệ thống có thiết kế dường như rất hoàn chỉnh và bao gồm các cơ chế có thể xử lý các loại sự cố xuất hiện trong trường hợp của Kelp DAO.
Anh ấy bổ sung rằng vấn đề không phải luôn do thiếu công cụ bảo mật. Ngược lại, các nhà cung cấp dịch vụ thường nhấn mạnh vào tính dễ triển khai và khả năng mở rộng chuỗi nhanh chóng, giả định rằng các dự án sẽ tránh các biện pháp bảo mật mạnh nhất. Trong tin tức gần đây liên quan đến kế hoạch stablecoin của Ripple, Schwartz mô tả sự đánh đổi này là điểm yếu lặp lại trong việc triển khai cầu nối.
Sự kiện khai thác lỗ hổng của Kelp DAO một lần nữa làm nổi bật thiết lập của LayerZero
Kelp DAO's rsETH bridge was attacked on April 18, resulting in losses of approximately $290 million to $292 million. Public reports and incident analysis claim that the attacker stole 116,500 rsETH through LayerZero-related bridging activities, making this attack the largest DeFi security breach of 2026 to date.
Sau cuộc tấn công, các bình luận kỹ thuật chỉ ra rằng cơ chế xác thực yếu là vấn đề cốt lõi. Một bài phân tích được trích dẫn rộng rãi cho biết, cấu hình cầu nối này phụ thuộc vào mô hình người xác thực một-một, tạo ra điểm lỗi đơn lẻ, cho phép các tin giả mạo giải phóng tài sản từ tài khoản được quản lý. Cấu trúc này đã trở thành trọng tâm của cuộc thảo luận về việc lỗ hổng bảo mật này có phải do chưa tận dụng đầy đủ các thiết lập bảo mật tùy chọn hay không.
Sau lỗ hổng của Kelp DAO, tổng giá trị bị khóa của Aave được báo cáo là đã bị kẻ tấn công khai thác bằng cách sử dụng rsETH bị đánh cắp làm tài sản thế chấp để vay wETH trên nền tảng Aave v3, dẫn đến sự sụt giảm mạnh về giá rsETH. Sau sự kiện, Aave đã đóng băng nhiều thị trường rsETH và wETH, khiến giao thức đối mặt với nguy cơ nợ xấu khoảng 195 triệu USD.
Ripple executives emphasize convenience over security
Schwartz cho biết ông “có cảm giác” một số vấn đề có thể xuất phát từ việc Kelp DAO vì sự tiện lợi mà không sử dụng các tính năng bảo mật quan trọng của LayerZero. Lời phát biểu của ông cũng phản ánh mối lo ngại phổ biến rằng một số nhóm cầu nối thường áp dụng cấu hình lỏng lẻo hơn trong giai đoạn đầu phát triển và trì hoãn các biện pháp kiểm soát nghiêm ngặt hơn đến giai đoạn sau.
Quan điểm này bổ sung một chiều hướng mới cho các bài báo tin tức hiện tại về XRP, vì đánh giá RLUSD vẫn sẽ xem xét rủi ro hạ tầng. Bình luận của Schwartz cho thấy việc xem xét nội bộ của Ripple đặc biệt chú trọng đến cách thức thực tế của hệ thống cầu nối, chứ không chỉ là thiết kế trên giấy.
Do đó, lỗ hổng này đã gây ra cuộc thảo luận rộng hơn về ai nên chịu trách nhiệm thiết kế cầu an toàn. Một số nhà phát triển cho rằng ứng dụng cần sự linh hoạt để chọn mô hình xác thực của riêng mình, trong khi các nhà phê bình cho rằng sự tự do này có thể dẫn đến việc các nhà phát triển áp dụng các cài đặt mặc định yếu hơn để dễ dàng triển khai và bảo trì.