Vụ hack Kelp DAO và nợ xấu trên Aave
Nguồn cơn của sự việc đến từ vụ khai thác lỗ hổng (exploit), khiến hacker lấy đi khoảng 116.500 rsETH, một loại token do Kelp DAO phát hành, đại diện cho đồng Ethereum được tái staking (trị giá khoảng 292-293 triệu USD) nhắm vào cầu nối cross‑chain (bridge - hạ tầng cho phép chuyển tài sản giữa các blockchain khác nhau) của Kelp DAO. Nhiều nguồn tin uy tín khác cũng cho biết kẻ tấn công đã lợi dụng một lỗi cấu hình ở lớp xác thực (verification layer) của cầu LayerZero mà Kelp DAO sử dụng.
Kelp DAO là một giao thức tái staking (quá trình khóa lại một lượng token nhất định trong 1 blockchain để nhận được phần thưởng), cho phép người dùng gửi các token staking phổ biến như stETH hoặc cbETH và nhận lại rsETH. Token này sau đó có thể được sử dụng trên nhiều ứng dụng tiền mã hóa khác mà vẫn tiếp tục sinh lợi. Chính sự linh hoạt này đã giúp rsETH được sử dụng rộng rãi trên các nền tảng cho vay, giao dịch và cung cấp thanh khoản phi tập trung.
Cụ thể, cấu hình DVN – Decentralized Verifier Network (mạng lưới xác thực phi tập trung) trong trường hợp này thực chất là 1/1, tức chỉ dựa vào một node do một thực thể duy nhất vận hành. Điều này đồng nghĩa toàn bộ cầu nối phụ thuộc vào một điểm xác thực duy nhất. Theo phân tích của cryptogoblin, chỉ với một chữ ký, hệ thống đã “tin” rằng đã nhận được yêu cầu hợp lệ và “đúc” ra khoảng 116.500 rsETH trên Ethereum, mặc dù không có tài sản bảo chứng thực sự đứng sau. Trong khi đó, các dự án khác sử dụng LayerZero thì đều cần từ 2 private key xác thực trở lên.
rsETH là token restaking thanh khoản của Kelp DAO, đại diện cho ETH đã được stake và restake (đem staking trên nhiều lớp) nhưng vẫn có thể giao dịch, giúp người dùng vừa nhận thưởng staking, vừa giữ được tính thanh khoản của tài sản. Có thể hiểu, các giao thức DeFi thường xếp chồng lên nhau. Những tài sản như rsETH được tái sử dụng trên nhiều dịch vụ, chẳng hạn làm tài sản thế chấp cho các khoản vay hoặc làm thanh khoản trong các pool giao dịch.
Chính bởi vậy, sau khi chiếm được số rsETH “ảo” này, hacker đã mang chúng đi làm tài sản thế chấp trên nhiều nền tảng cho vay, trong đó có Aave V3, Compound, Euler…, để vay WETH (wrapped ETH – phiên bản ERC‑20 của ETH) và các tài sản khác. Vì số rsETH đó không được bảo chứng bằng ETH thật, việc dùng chúng làm tài sản thế chấp đã để lại phía sau trên Aave các khoản nợ xấu khi rsETH mất giá trị, trong khi WETH và các token khác đã bị rút ra khỏi hệ thống.
Về bản chất, các thủ thuật trên giống như việc một ngân hàng nhận “tài sản thế chấp giả” mà không biết, rồi cho vay tiền thật dựa trên tài sản đó, để rồi phải tự gánh khoản thiếu hụt khi sự thật bị phơi bày.
TVL DeFi giảm mạnh, Aave là tâm điểm chịu ảnh hưởng
Theo dữ liệu DefiLlama, trong khoảng hai ngày quanh thời điểm 18–19/4, tổng giá trị khóa – TVL (Total Value Locked, tổng lượng tài sản tiền mã hóa người dùng gửi trong các giao thức DeFi để cho vay, cung cấp thanh khoản, nhận lãi…) đã giảm từ vùng xấp xỉ 96–100 tỷ USD về khoảng 86–89 tỷ USD, tương đương mức sụt giảm khoảng 10–13 tỷ USD tùy mốc thời gian chụp số liệu. Đây là dấu hiệu cho thấy dòng vốn đã rút ra đáng kể khỏi hệ sinh thái DeFi ngay sau sự cố Kelp DAO, cũng như niềm tin của nhà đầu tư đã bị ảnh hưởng rõ rệt sau các vụ tấn công.
Ở cấp độ từng giao thức, Aave là một trong những bên chịu ảnh hưởng nặng nề nhất, khi giao thức cho vay (lending) này trở thành nơi bị hacker sử dụng để chuyển đổi tài sản. Dữ liệu từ KuCoin Flash cho thấy, TVL của Aave đã giảm khoảng 16,78% trong một ngày, từ khoảng 26,396 tỷ USD xuống còn 21,96 tỷ USD, sau đó tiếp tục dao động quanh vùng 20–22 tỷ USD khi người dùng rút vốn. Một số nguồn khác ghi nhận mốc TVL cao hơn một chút ngay trước vụ việc (khoảng 26–27 tỷ USD), nhưng đều cho thấy mức giảm quy mô hàng tỷ USD chỉ trong 24–48 giờ.
Hiện tượng ồ ạt rút tiền trên Aave và rủi ro liên thông của DeFi
Ngay sau khi vụ việc bị phát hiện, Kelp DAO đã tạm dừng hợp đồng rsETH trên Ethereum mainnet và nhiều mạng Layer 2, chặn thêm hai giao dịch rút tiền trị giá khoảng 40.000 rsETH nhưng vẫn không thể lấy lại 116.500 rsETH đã rơi vào tay kẻ tấn công. Aave đã đóng băng mọi thị trường liên quan tới rsETH, giảm hạn mức vay và điều chỉnh tham số rủi ro với các tài sản liên quan; Lido tạm dừng tiền gửi vào sản phẩm earnETH gắn với rsETH; các giao thức như EtherFi, Fluid, SparkLend, Upshift… cũng lần lượt kích hoạt chế độ an toàn nhằm hạn chế lan truyền rủi ro.
Dù nhà sáng lập Stani Kulechov khẳng định hợp đồng cốt lõi của Aave không bị hack, nhưng tâm lý người dùng vẫn bị ảnh hưởng mạnh. Dữ liệu on‑chain cho thấy tỷ lệ sử dụng WETH trên Aave đã có lúc chạm 100%, khiến nhiều người gửi ETH không thể rút ngay lập tức vì toàn bộ thanh khoản trong pool đã được vay hết.
Trong bối cảnh đó, một số người gửi đã chọn cách khác đó là vay stablecoin (USDT, USDC…) để “rút vòng” vốn ra khỏi hệ thống, như mô tả của nhà phân tích Josu San Martin: “Người gửi ETH không thể rút ETH nên họ vay stable để ‘rút’ tiền… Đây là một cuộc rút tiền toàn diện khỏi Aave.”
Về mặt cấu trúc thị trường, vụ việc cũng phơi bày mức độ rủi ro liên thông cao của DeFi. Một token như rsETH được triển khai trên hơn 20 mạng, dùng làm tài sản thế chấp, cung cấp thanh khoản, tài sản trong chiến lược yield… Khi nó gặp sự cố ở một điểm – là cầu LayerZero – cú sốc nhanh chóng lan sang nhiều giao thức sử dụng rsETH, kể cả những nơi không dùng LayerZero trực tiếp.
Điều này cho thấy rủi ro trên thị trường DeFi hiện nay không chỉ nằm ở lỗi code hợp đồng thông minh, mà còn nằm ở cách các dự án cấu hình (config) hạ tầng cross‑chain và bảo mật.
Cú sốc niềm tin và câu hỏi cho tương lai
Với quy mô gần 300 triệu USD, cuộc tấn công vào Kelp DAO được các chuyên gia đánh giá là vụ hack lớn nhất trên thị trường DeFi trong năm 2026, cùng với các sự cố như Drift Protocol trên Solana bị rút khoảng 285 triệu USD, hay các vụ hack cầu Hyperbridge và một loạt giao thức nhỏ hơn như CoW Swap, Zerion, Rhea Finance, Silo Finance...
Vụ việc đã khiến khoảng 18% tổng nguồn cung rsETH bị ảnh hưởng; Aave ghi nhận nợ xấu WETH đáng kể; hàng loạt giao thức phải đóng băng thị trường, trong khi TVL DeFi sụt hàng chục tỷ USD.
Không khó hiểu khi trên mạng xã hội, nhiều người đã bày tỏ sự bi quan bằng những câu như “DeFi đã chết”, “đừng bảo tôi cứ dùng Aave nữa”, “thời kỳ crypto đã qua”,… Các câu này xuất hiện trong các thread được chia sẻ rộng rãi, phản ánh tâm trạng hoảng loạn sau chuỗi sự cố lớn.
Nhìn chung, kiểu phản ứng cực đoan từ cộng đồng này không phải lần đầu xuất hiện, mà từng xảy ra sau các cú sập lớn như Terra/Luna, FTX crash, hay các vụ hack cross‑chain trước đây. Điều có thể khẳng định là: niềm tin vào các mô hình DeFi phức tạp, đặc biệt là restaking và cross‑chain, đang bị thử thách rất mạnh; còn việc “DeFi có thực sự chết hay không” là một chủ đề đang gây tranh cãi, chưa thể kết luận chỉ sau một vài tuần sự cố.
Về phía các bên liên quan, LayerZero khẳng định đang phối hợp với KelpDAO, các đơn vị kiểm toán và nhóm bảo mật như SEAL Org để tìm ra nguyên nhân cụ thể, đồng thời hứa hẹn công bố đầy đủ báo cáo khi có đủ thông tin. Cùng với đó, nền tảng KelpDAO liên tục cập nhật, xác nhận đã phát hiện hoạt động cross‑chain đáng ngờ, tạm dừng hợp đồng rsETH và làm việc với các đối tác để điều tra. Ông Justin Sun - nhà sáng lập nền tảng blockchain Tron, cũng công khai kêu gọi hacker “ngồi lại đàm phán”, với lý lẽ không nên để cả Aave lẫn KelpDAO cùng phải chịu “thiệt hại nặng nề” vì vụ việc ở thời điểm đặc biệt nhạy cảm đối với toàn ngành như hiện nay,
Ở thời điểm hiện tại, vẫn còn nhiều câu hỏi chưa có lời giải. Đơn cử như mức độ nợ xấu thực sự trên Aave sẽ được xử lý ra sao, liệu có thêm giao thức nào “lộ” rủi ro từ rsETH và LayerZero, và các nhà phát triển sẽ điều chỉnh mô hình bảo mật như thế nào. Tuy nhiên, một điều khá rõ là sau vụ KelpDAO, ba “mắt xích” – hạ tầng cross‑chain, mô hình restaking/LRT và quản trị rủi ro cho vay trong DeFi – sẽ cần phải được "soi xét" kỹ hơn trong các cuộc thảo luận về tương lai thị trường.
