Một kẻ tấn công được cho là đã khai thác một lỗ hổng trong token rsETH liquid restaking của KelpDAO vào ngày 18/04/2026, rút đi ước tính 280 triệu USD trở lên trên Ethereum và Arbitrum.
Các ý chính:
- ZachXBT đã phát hiện vụ trộm trị giá 280 triệu USD+ trên các giao thức DeFi tại Ethereum và Arbitrum vào ngày 18/04/2026.
- Vụ khai thác của KelpDAO đã tạo ra nợ xấu trên Aave V3, khiến token AAVE giảm khoảng 10-13%.
- KelpDAO vẫn chưa xác nhận vụ khai thác; các nhà phân tích đang theo dõi 6 ví kẻ tấn công được xác định để tìm manh mối cho việc thu hồi.
Vụ tấn công DeFi trên Ethereum: KelpDAO rsETH bị đánh cắp hơn 280 triệu USD
Nhà điều tra onchain ZachXBT đăng cảnh báo ban đầu lên kênh Telegram công khai của mình ngay trước 3 giờ chiều ET, liệt kê 6 địa chỉ ví liên quan đến vụ trộm và cho biết các ví tấn công đã được nạp tiền thông qua Tornado Cash trước khi đợt rút tiền bắt đầu. Bài đăng của ông trích dẫn các khoản lỗ vượt 280 triệu USD trên nhiều giao thức DeFi, không nêu trực tiếp tên KelpDAO, nhưng các nhà phân tích onchain đã liên kết các địa chỉ này trong vòng vài giờ.
“Có vẻ KelpDAO đã bị đánh cắp 280 triệu USD+ cách đây 1 giờ trên Ethereum và Arbitrum,” ZachXBT viết. “Các địa chỉ tấn công đã được tài trợ qua Tornado Cash.”
Các báo cáo cho biết kẻ tấn công đã khai thác một điểm yếu trong hạ tầng rsETH của KelpDAO, kích hoạt việc phát hành trái phép một khối lượng lớn token liquid restaking mà không hề gửi thêm tài sản thế chấp mới. Sau đó, rsETH thu được được nạp vào các thị trường cho vay của Aave V3 trên cả Ethereum và Arbitrum, nơi kẻ tấn công vay mượn một lượng lớn ETH và các tài sản khác bằng tài sản này làm đảm bảo.
Khi tính hợp lệ của tài sản thế chấp bị đặt dấu hỏi, các vị thế đó khiến Aave phải gánh nợ xấu. Ước tính của cộng đồng về tổng thiệt hại dao động từ 100 triệu USD đến khoảng 293 triệu USD, tương đương xấp xỉ 116.500 rsETH theo giá hiện tại.
AAVE đã giảm mạnh trước tin tức. Dữ liệu thị trường cho thấy mức giảm từ 10% đến 13% trong vài giờ sau cảnh báo ban đầu, khi thị trường cân nhắc rủi ro nợ xấu tiềm ẩn trong các nhóm cho vay của giao thức. Theo dữ liệu onchain, AAVE multisig guardian đã đóng băng rsETH trên các thị trường cho vay.
Các token liquid restaking như rsETH nằm sâu trong tính “tương tác” của DeFi. Chúng được chấp nhận làm tài sản thế chấp trên đồng thời nhiều thị trường cho vay, nghĩa là lỗ hổng có thể lan nhanh ra nhiều nền tảng. Sự cố KelpDAO cho thấy rủi ro này là hiện thực.
Các ví kẻ tấn công được ZachXBT liệt kê cho thấy các vị thế ETH lớn nắm giữ trên Aave và Compound. Riêng một địa chỉ được cho là đã nắm khoảng 120 triệu USD tiền ETH trên Aave tại thời điểm phát hiện. Quỹ đã được chuyển đi nhanh chóng sau đợt rút.
Việc dùng Tornado Cash để “nạp trước” các ví phục vụ vận hành trước cuộc tấn công là một chiến thuật tiêu chuẩn của kẻ tấn công nhằm che giấu nguồn gốc. Điều này không cho thấy một kỹ thuật mới, nhưng xác nhận rằng hoạt động là có chủ đích và được lên kế hoạch.
Tính đến khoảng 3 giờ chiều ET ngày 18/04, KelpDAO chưa công bố tuyên bố chính thức hay bản báo cáo hậu kiểm. Cộng đồng đang theo dõi tài khoản X và website của dự án để tìm phản hồi, đồng thời theo dõi các kênh quản trị của Aave để xem có bất kỳ hành động khẩn cấp nào hay không.
Các công ty an ninh DeFi, bao gồm Peckshield, Slowmist và những đơn vị khác, tại thời điểm viết bài vẫn chưa công bố bản phân rã chi tiết, phản ánh việc tình hình diễn ra nhanh đến mức nào. ZachXBT chưa đăng một bài cập nhật nêu đích danh KelpDAO trong các kênh công khai, nhưng việc trùng khớp địa chỉ đã vẽ ra một đường ranh giới rõ ràng.
Sự cố này tách biệt với vụ khai thác của Drift Protocol vốn được Bitcoin.com News đưa tin lần đầu vào ngày 01/04/2026, liên quan đến khoảng 280 triệu USD bị rút đi chủ yếu trên Solana trước khi USDC được chuyển cầu sang Ethereum thông qua CCTP. Cơ chế, chuỗi và mốc thời gian là khác nhau.
Bất kỳ ai đang nắm giữ rsETH hoặc các vị thế liên quan trên Aave, Compound hoặc các thị trường cho vay khác đều được cộng đồng khuyến nghị rà soát mức độ phơi nhiễm khi tình hình vẫn chưa được giải quyết.
Sáu ví kẻ tấn công được ZachXBT xác định vẫn là mục tiêu truy vết onchain đang được theo đuổi khi các nhà phân tích cố gắng lập bản đồ nơi số tiền đã chảy tới sau khi rời Aave.
Ghi chú của biên tập viên: Bài viết đã được cập nhật lúc 4 giờ chiều ET để ghi nhận rằng Aave multisig guardian đã đóng băng rsETH trên các thị trường cho vay cụ thể.
