Mua Crypto
Thanh toán bằng
USD
USD
Mua & Bán
Hot
Hỗ trợ Visa, Mastercard, SEPA...
P2P tiền (P2P)
0 Fees
Giao dịch linh hoạt, không phí
Thẻ Gate
Thanh toán tiền điện tử trên khắp thế giới
Vay tiền pháp định
Tăng tài sản của bạn bằng cách đầu tư tiền pháp định
Thị trường
Giao dịch
Cơ bản
Nâng cao
Futures
Futures
Truy cập hàng trăm hợp đồng vĩnh cửu
CFD
Vàng
Một nền tảng cho tài sản truyền thống
Quyền chọn
Hot
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Giao dịch demo
Giới thiệu về Giao dịch hợp đồng tương lai
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Tham gia sự kiện để nhận phần thưởng
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
Cổ phiếu Hoa Kỳ
CFD
Phái sinh CFD cổ phiếu Hoa Kỳ
Futures
Đòn bẩy cao, giao dịch 24/7
Cổ phiếu token hóa
Được hỗ trợ bởi tài sản cổ phiếu thực
GUSD
Đúc GUSD để nhận lợi suất từ RWA kho bạc
Kiếm tiền
Launch
CandyDrop
tag
Sưu tập kẹo để kiếm airdrop
Launchpool
Thế chấp nhanh, kiếm token mới tiềm năng
HODLer Airdrop
Nắm giữ GT và nhận được airdrop lớn miễn phí
Pre-IPOs
Mở khóa quyền truy cập đầy đủ vào các IPO cổ phiếu toàn cầu
Điểm Alpha
Giao dịch trên chuỗi và nhận airdrop
Điểm Futures
Kiếm điểm futures và nhận phần thưởng airdrop
Đầu tư
Square
Trung tâm
Khám phá giá trị của tiền điện tử
Live
moments live
Livestream phân tích thịtrường mỗi ngày
Chat
Giao Lưu Với Các Nhà Giao Dịch Khác
Tin nhanh
Tin tức tiền điện tử mớinhất
flower_head
Thêm
Khuyến mãi
AI
Khác
TradFi
Phần thưởng

Báo cáo sự cố: Các nhà cung cấp dịch vụ Llamarisk và Aave nêu chi tiết vụ hack Kelp rsETH trên các thị trường Ethereum và Arbitrum

Coinpedia
Sự cố bảo mậtRủi ro sàn giao dịch
AAVE1,92%
ETH0,52%
ARB0,79%
ZRO0,53%

Báo cáo sự cố được Llamarisk công bố trên diễn đàn Aave giải thích rằng một lỗ hổng khai thác cầu (bridge) nhắm vào tuyến Layerzero V2 của KelpDAO đối với đường chuyển rsETH vào Thứ Bảy đã cho phép kẻ tấn công rút 116.500 rsETH khỏi bộ chuyển đổi (OFT adapter) trên Ethereum mà không cần đốt (burn) bất kỳ token nào trên chuỗi nguồn. Báo cáo của Llamarisk ghi nhận sự cố này khiến các thị trường Aave V3 có nguy cơ nợ xấu (bad debt) từ 123,7 triệu USD đến 230,1 triệu USD, tùy cách phân bổ các khoản lỗ.

Những điểm chính:

  • Theo Llamarisk, kẻ tấn công đã khai thác cầu Layerzero V2 của Kelp vào ngày 18/04/2026, đúc (mint) 116.500 rsETH mà không có bất kỳ đợt burn tương ứng nào.
  • Llamarisk ước tính nợ xấu trong khoảng 123,7 triệu USD đến 230,1 triệu USD trên 7 thị trường bị ảnh hưởng, tùy cách Kelp “xã hội hóa” (socialize) các khoản lỗ.
  • Quỹ DAO của Aave nắm giữ $181M tính đến ngày 20/04/2026, và các nhà cung cấp dịch vụ đang sẵn sàng các cam kết thu hồi mang tính chỉ báo từ các thành viên trong hệ sinh thái.

Chi tiết của Llamarisk: Các kịch bản khai thác rsETH sau khi bộ chuyển đổi Kelp OFT bị rút cạn

Bài phân tích do công ty quản lý rủi ro Llamarisk và nhà cung cấp dịch vụ Aave đồng tác giả công bố nêu rõ rằng cuộc tấn công diễn ra lúc 17:35 UTC tại khối Ethereum 24.908.285. Tuyến Unichain-to-Ethereum được cấu hình theo đường dẫn DVN 1-of-1, nghĩa là một bộ xác minh (verifier) duy nhất có thể xác thực một gói tin (inbound packet) mà không cần bất kỳ hành động đầu ra (outbound action) tương ứng nào, theo báo cáo.

Các tác giả Llamarisk cho biết kẻ tấn công đã giả mạo (forge) một gói tin được xác thực, cam kết (committed) và chuyển giao (delivered) trên Ethereum, qua đó giải phóng 116.500 rsETH từ bộ chuyển đổi, báo cáo Aave nêu. Số dư bộ chuyển đổi giảm từ 116.723 rsETH xuống còn 223 rsETH chỉ trong một khối. Kẻ tấn công đã phân tán lượng rsETH bị đánh cắp từ một ví nhận vào thành bảy địa chỉ nhánh. Trong 116.500 rsETH nhận được, 89.567 đã được gửi vào các thị trường Aave V3 trên Ethereum và Arbitrum dưới dạng tài sản thế chấp.

Những vị thế đó được dùng để vay khoảng 82.650 WETH và 821 wstETH, với các chỉ số health factor ổn định trong khoảng 1,01 đến 1,03. Cả bảy địa chỉ của kẻ tấn công vẫn đang hoạt động trên Aave tại thời điểm công bố.

Các nhà cung cấp dịch vụ của Aave đồng tác giả báo cáo sự cố đầy đủ của Llamarisk và xác nhận rằng các hợp đồng thông minh của Aave không bị xâm phạm. Tất cả logic giao thức, bao gồm cơ chế cung cấp (supply), hoàn trả (repayment) và thanh lý (liquidation), vẫn tiếp tục vận hành đúng như thiết kế trong suốt sự kiện.

Protocol Guardian bắt đầu đóng băng toàn bộ các dự trữ rsETH và wrsETH trên tất cả các triển khai Aave V3 vào khoảng 19:00 UTC ngày 18/04. Động thái này đặt LTV về 0 và vô hiệu hóa việc cung cấp và vay mới, trong khi vẫn để các vị thế hiện hữu đủ điều kiện cho việc hoàn trả và thanh lý. Mười một thị trường trên Ethereum, Arbitrum, Avalanche, Base, Ink, Linea, Mantle, MegaETH, Plasma và Zksync đã bị ảnh hưởng, theo phân tích trên diễn đàn Aave.

Báo cáo cho biết Risk Steward đã điều chỉnh các mô hình lãi suất WETH trên Arbitrum, Base, Mantle và Linea vào khoảng 14:30 UTC ngày 19/04, giảm Slope 2 xuống 1,50 phần trăm và cắt tỷ lệ vay tại mức 100 phần trăm sử dụng (utilization) từ khoảng 8,5–10,5 phần trăm xuống còn 3,0 phần trăm APR. Một điều chỉnh tương ứng được áp dụng cho Core vào khoảng 05:00 UTC ngày 20/04, với Slope 1 đặt 2 phần trăm, Slope 2 đặt 3 phần trăm và utilization tối ưu đặt 94 phần trăm.

Protocol Guardian cũng đã đóng băng WETH trên Core, Prime, Arbitrum, Base, Mantle và Linea vào khoảng 02:00 UTC ngày 20/04 để ngăn việc vay mới và khống chế khả năng áp lực tiềm tàng lan sang các dự trữ stablecoin.

2 kịch bản

Hai kịch bản được phân tích bởi Llamarisk phản ánh quyết định phân bổ lỗ của Kelp sẽ quyết định mức phơi nhiễm cuối cùng của giao thức. Kịch bản 1 giả định việc xã hội hóa đồng đều 112.204 rsETH không được bảo chứng (unbacked) trên toàn bộ nguồn cung rsETH, tạo ra mức depeg 15,12 phần trăm và ước tính nợ xấu 123,7 triệu USD, trong đó Ethereum Core chịu 91,8 triệu USD theo giá trị tuyệt đối và Mantle đối mặt với mức thiếu hụt dự trữ WETH 9,54 phần trăm.

Kịch bản 2 coi khoản lỗ chỉ bị cô lập ở L2 rsETH, áp dụng mức cắt lỗ (haircut) 73,54 phần trăm đối với tài sản thế chấp trên các chuỗi từ xa trong khi giữ nguyên hoàn toàn rsETH trên Ethereum mainnet, tạo ra ước tính nợ xấu 230,1 triệu USD tập trung tại Mantle với thiếu hụt WETH 71,45 phần trăm và Arbitrum ở mức 26,67 phần trăm.

Số dư bộ chuyển đổi hiện ở 40.373 rsETH, là khoản bảo chứng duy nhất đã được xác nhận cho toàn bộ rsETH ở các chuỗi từ xa trên mọi đường dẫn L2, so với tổng yêu cầu từ xa là 152.577 rsETH. Kelp chưa xác nhận công khai cách phân bổ các khoản tiền đã thu hồi.

Tính đến ngày 20/04/2026, báo cáo cho biết quỹ DAO của Aave nắm giữ 181 triệu USD tài sản, bao gồm 62 triệu USD ở các khoản nắm giữ tương quan với Ethereum, 54 triệu USD ở AAVE và 52 triệu USD ở stablecoins. DAO tạo ra 145 triệu USD doanh thu trong năm 2025 và 38 triệu USD tính đến thời điểm hiện tại trong năm 2026. Llamarisk xác nhận rằng một số cam kết mang tính chỉ báo từ các thành viên trong hệ sinh thái đã sẵn có để xử lý các kịch bản nợ xấu tiềm ẩn.

Dự trữ WETH trên Ethereum, Arbitrum, Base, Linea và Mantle ở mức utilization 100 phần trăm, với số dư nhàn rỗi dưới 20 USD trên mọi chuỗi. Ở mức utilization đầy đủ, người thanh lý nhận aWETH thay vì WETH gốc, khiến tốc độ thanh lý chậm lại.

Báo cáo của Llamarisk đánh dấu Base và Arbitrum là các thị trường “đệm” (buffer) ít nhất, với các đợt thanh lý đầu tiên được kích hoạt khi giá WETH giảm lần lượt 0,77 phần trăm và 1,77 phần trăm, do các vị thế vận hành ở health factor quanh 1,03.

Llamarisk khuyến nghị tạm dừng ngay module staking “WETH Umbrella” theo Kịch bản 1. Tính đến thời điểm báo cáo được công bố, 18.922 trong số 23.507 aWETH đã stake đang trong thời gian chờ unstaking cooldown.

Việc tạm dừng sẽ chặn các hoạt động nạp (deposits), rút (withdrawals), chuyển (transfers) và slashing, đồng thời vẫn duy trì phân phối phần thưởng. Bốn thị trường còn lại niêm yết rsETH, gồm Ethereum Lido, MegaETH, Plasma và Zksync, có số dư không đáng kể và không có nợ xấu. Mười hai thị trường Aave V3 khác không niêm yết rsETH và không bị ảnh hưởng.

Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ các nguồn bên thứ ba và chỉ mang tính chất tham khảo. Thông tin này không phản ánh quan điểm hoặc ý kiến của Gate và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Giao dịch tài sản ảo tiềm ẩn rủi ro cao. Vui lòng không chỉ dựa vào thông tin trên trang này khi đưa ra quyết định. Để biết thêm chi tiết, vui lòng xem Tuyên bố miễn trừ trách nhiệm.

Tin tức liên quan

05-27 12:32
Oobit đóng băng 6 con số EURR sau vụ tấn công hợp đồng thông minh StablR trị giá 13,5 triệu USD
05-27 10:22
5,4 nghìn tỷ token v dCRV được đúc trên Arbitrum; kẻ tấn công hoán đổi 43,781 ETH
05-26 20:50
TVL DeFi giảm 14% xuống $148B kể từ khi vụ $292M Exploit của KelpDAO xảy ra vào ngày 18 tháng 4
Bài viết liên quan

Stake DAO Đối mặt với lỗ hổng bị khai thác liên tục sau khi đúc 5,4 nghìn tỷ vsdCRV

Ethan Brooks05-27 12:24

ZachXBT Phát hiện vụ khai thác KelpDAO trị giá hơn 280 triệu USD nhắm vào các thị trường cho vay DeFi trên Ethereum

Coinpedia05-27 06:47

TVL DeFi giảm 14% sau vụ khai thác cầu nối KelpDAO

Ethan Brooks05-26 20:52

Squid phủ nhận vai trò trong vụ khai thác mô-đun Gnosis Safe trị giá 3,2 triệu USD

Ethan Brooks05-26 08:45

Kelp DAO xác nhận rsETH đã khôi phục hoàn toàn, Lazarus Group tấn công xong đã khởi động lại toàn bộ chức năng

Market Whisper05-26 03:05
Bình luận
0/400
Không có bình luận