🚨 Kelp DAO bị hack $292M, Aave dính đạn #5PC Rạng sáng nay (19/4), khoảng 0:35 giờ VN, hợp đồng bridge rsETH của Kelp DAO (giao thức liquid restaking lớn thứ hai sau https://t.co/4ePd4lro3h, xây trên LayerZero) bị hacker khai thác, thiệt hại 116.500 rsETH ($292M). Hacker rút 1 ETH từ Tornado Cash làm phí gas, đồng thời chiếm đoạt quyền kiểm soát bridge (theo phân tích ban đầu là do private key bị xâm phạm). Cuối cùng, hắn dùng key đó giả lệnh chuyển tiền qua LayerZero, rút sạch 116.500 rsETH sang địa chỉ của mình. Lý do vụ hack thành công dễ dàng là bridge này chỉ có đúng 1 trình xác thực (DVN 1/1), không có kiểm tra chéo. Hacker sau đó còn thử rút thêm 40.000 rsETH (~$100M) nhưng thất bại vì Kelp đã kịp pause toàn bộ hợp đồng. Xong xuôi, vì rsETH thanh khoản thấp không bán trực tiếp được. Hacker chọn cách thế chấp rsETH vào các giao thức cho vay rồi vay ra wETH. Tính đến 2:30 sáng nay (giờ VN), tổng nợ hacker tạo ra vượt $236M: - Aave V3: $196M - Compound V3: $39,4M - Euler: $840K Aave đã đóng băng thị trường rsETH trên cả V3 và V4, khẳng định hợp đồng của mình không bị hack, và cam kết nếu phát sinh nợ xấu thì sẽ tìm cách bù đắp. Theo ước tính từ Spark (đối thủ trực tiếp của Aave), nếu rsETH giảm giá 19% (số bị cắp chiếm 19% tổng cung rsETH), Aave có thể phát sinh hơn $100M nợ xấu do vay vòng lặp đòn bẩy cao. Cả $KERNEL và $AAVE đều đã giảm hơn 10% sau vụ hack.