DeFi Lại Bị Đánh Cắp 292 Triệu USD, Liệu Aave Còn An Toàn?

Odaily星球日报Xuất bản vào 2026-04-18Cập nhật gần nhất vào 2026-04-18

Tóm tắt

Ngày 19/4, giao thức Kelp DAO đã hứng chịu một vụ tấn công bảo mật nghiêm trọng, với thiệt hại ước tính lên tới 292 triệu USD. Vụ việc xảy ra khi hợp đồng bridge rsETH dựa trên LayerZero của giao thức này bị khai thác, dẫn đến việc 116.500 rsETH bị đánh cắp. Theo phân tích, nguyên nhân gốc rễ được xác định là do "khóa private key trên chain nguồn bị xâm phạm". Hacker sau đó đã sử dụng số tài sản đánh cắp làm tài sản thế chấp trên các giao thức cho vay như Aave, Compound và Euler để vay ra hơn 236 triệu USD WETH, chủ yếu tập trung trên Aave với khoản nợ 196 triệu USD. Aave đã nhanh chóng đóng băng thị trường rsETH trên các phiên bản V3 và V4 để ngăn chặn thiệt hại thêm và thông báo sẽ khám phá các biện pháp bù đắp nếu phát sinh nợ xấu. Mặc dù quỹ an ninh Umbrella của Aave có khoảng 50 triệu USD để xử lý các khoản lỗ tiềm ẩn, quy mô nợ xấu cuối cùng vẫn chưa được xác định rõ. Sự kiện này một lần nữa làm dấy lên lo ngại về tính bảo mật trong không gian DeFi, ngay cả với các giao thức hàng đầu như Aave cũng có thể bị ảnh hưởng gián tiếp. Người dùng được khuyến cáo nên quản lý danh mục đầu tư một cách thận trọng.

Bài gốc | Odaily Planet Daily (@OdailyChina)

Tác giả | Azuma (@azuma_eth)

Vào lúc 1:35 sáng ngày 19 tháng 4 (giờ Bắc Kinh), lĩnh vực bảo mật DeFi lại một lần nữa chịu tổn thất nặng nề.

Dữ liệu trên chuỗi cho thấy, vào khoảng 1:35 sáng nay, hợp đồng bridge rsETH của giao thức staking thanh khoản lớn thứ hai Kelp DAO, được xây dựng trên LayerZero, nghi bị khai thác bởi hacker, với thiệt hại 116.500 rsETH, trị giá khoảng 292 triệu USD.

Tiếp tục truy vết các ghi chép trên chuỗi, địa chỉ của kẻ tấn công đã nhận được khoản tiền ban đầu 1 ETH từ giao thức trộn tiền Tornado Cash khoảng 10 giờ trước khi sự việc xảy ra. Sau đó, địa chỉ này đã gọi hàm lzReceive trên hợp đồng LayerZero EndpointV2, lần gọi này đã kích hoạt hợp đồng bridge của Kelp, chuyển 116.500 rsETH sang một địa chỉ tấn công khác.

Khoảng 2 tiếng rưỡi sau sự việc, Kelp DAO chính thức xác nhận trên X (Twitter) rằng họ đã bị tấn công: "Hôm nay, chúng tôi đã phát hiện ra hoạt động đa chuỗi (cross-chain) đáng ngờ liên quan đến rsETH. Trong quá trình điều tra, chúng tôi đã tạm dừng hợp đồng rsETH trên mainnet và nhiều Layer2. Đội ngũ kiểm toán của chúng tôi đang hợp tác với các chuyên gia bảo mật từ LayerZero và Unichain để theo dõi sát sao vấn đề này. Chúng tôi sẽ thông báo cho bạn về những diễn biến mới, hãy theo dõi các kênh chính thức."

Sau sự việc, các dự án DeFi và tổ chức bảo mật khác nhau đều phân tích nguyên nhân sự kiện. Phân tích từ D2 Finance được trích dẫn nhiều lần trong cộng đồng — LayerZero Scan đánh dấu nguồn đối ứng này là Kelp DAO, điều này có nghĩa là thông điệp này đến từ hợp đồng đối ứng hợp lệ do chính Kelp triển khai và con đường này trước đây đã có 308 bản ghi nonce thông điệp. Do đó, nguyên nhân gốc rễ của cuộc tấn công này là do "khóa private key trên chuỗi nguồn bị xâm phạm".

Nhà phát triển TinyHumans AI, Steven Enamakel, bổ sung rằng hợp đồng này chỉ được đảm bảo bởi một tập hợp trình xác thực (DVN) 1/1, nghĩa là chỉ cần trình xác thực gửi một giao dịch sai là đủ để gây ra vấn đề.

Hacker dùng Aave để thoát, nghi ngờ đã gây ra nợ xấu

Do tính thanh khoản giao dịch của chính rsETH có hạn, hacker đã chọn chiến lược thoát là thông qua các giao thức cho vay như Aave, thế chấp rsETH và vay ra wETH có tính thanh khoản giao dịch tốt hơn.

Theo giám sát của PeckShield Alert, tính đến 4:30 sáng nay, địa chỉ hacker đã gửi rsETH bị đánh cắp vào các giao thức cho vay Aave V3, Compound V3, Euler và vay ra một lượng lớn WETH, tổng nợ vượt quá 236 triệu USD — trong đó chỉ riêng nền tảng Aave đã có khoản nợ lên tới 196 triệu USD, Compound 39,4 triệu USD, Euler chỉ 840.000 USD.

Sau sự việc, Aave ngay lập tức đóng băng thị trường rsETH trên Aave V3 và V4, đội ngũ sau đó đã đăng tuyên bố chính thức trên X: "Hợp đồng của Aave không bị tấn công, cuộc tấn công này liên quan đến rsETH. Việc đóng băng rsETH là để ngăn chặn các khoản tiền gửi rsETH mới và vay thế chấp trong khi đánh giá tình hình. Chúng tôi đang xem xét thông tin về các khoản vay rsETH trên Aave xảy ra sau cuộc tấn công và sẽ sớm chia sẻ thêm chi tiết."

Không lâu sau khi tuyên bố ban đầu được đăng, Aave đã cập nhật động thái này, thêm vào cuối dòng chữ: "Nếu giao thức tích lũy nợ xấu do sự kiện này, chúng tôi sẽ khám phá các cách để bù đắp thâm hụt."

Tính đến thời điểm bài viết, vẫn chưa rõ số tiền nợ xấu cụ thể do sự kiện này gây ra.

Nhà chiến lược trưởng của Spark, đối thủ cạnh tranh trực tiếp của Aave, monetsupply.eth, cho biết nếu rs ETH giảm giá 19% (số tiền bị đánh cắp chiếm 19% tổng nguồn cung rsETH), Aave có thể phát sinh hơn 100 triệu USD nợ xấu, do có các khoản vay vòng lặp đòn bẩy cao.

Tuy nhiên, Marc Zeller, người sáng lập nhóm quản trị tiêu biểu của hệ sinh thái Aave, Aave Chan Initiative (ACI) (đã tuyên bố sẽ rời khỏi Aave vào tháng 7 do bất đồng về quản trị), lại đưa ra quan điểm khác. Zeller trong lúc sự kiện mới bùng nổ đã từng khuyên người dùng nên rút WETH khỏi Aave V3 càng sớm càng tốt để tránh tổn thất và xác nhận thị trường USDC và USDT trên Aave không bị ảnh hưởng, ông đã trả lời một người dùng khác về phỏng đoán "nợ xấu có thể lên tới hàng trăm triệu" rằng: "Nhỏ hơn nhiều so với con số đó."

Nhưng Marc Zeller cũng đề cập, bây giờ là lúc để kiểm tra Umbrella trong môi trường thực tế. Umbrella, tức mô-đun bảo mật tự động của Aave, nói một cách đơn giản đây là một nhóm tiền để ứng phó với nợ xấu, người dùng có thể gửi tài sản vào đó để nhận ưu đãi cao, nhưng khi giao thức phát sinh nợ xấu, nhóm tiền này cũng phải chịu tổn thất tiềm ẩn.

Dữ liệu giao thức Aave cho thấy, hiện tại Umbrella có tổng cộng khoảng 50 triệu USD WETH có thể được sử dụng để ứng phó với nợ xấu tiềm ẩn từ sự kiện này, nhưng tạm thời chưa chắc chắn liệu có đủ để lấp đầy khoản thiếu hụt hay không.

Bị ảnh hưởng bởi sự kiện này, AAVE giảm mạnh gần 10%, tính đến thời điểm bài viết tạm báo 104,6 USDT.

Lại một sự kiện bảo mật cấp trăm triệu khác trong tháng Tư

Đây không phải là sự kiện bảo mật lớn đầu tiên xảy ra trong tháng này.

Vào ngày 1 tháng 4, giao thức giao dịch phái sinh trên hệ sinh thái Solana, Drift Protocol, đã từng bị tấn công, với thiệt hại lên tới 280 triệu USD (xem chi tiết "Trò đùa ngày Cá tháng Tư? Drift Protocol bị đánh cắp hơn 280 triệu USD, có thể trở thành vụ cướp DeFi lớn thứ hai trong hệ sinh thái Solana").

Sau sự việc, Drift Protocol trực tiếp đổ lỗi cho "hacker Triều Tiên", nhưng may mắn thay, các tổ chức như Tether đã cam kết rót 147,5 triệu USD để bồi thường cho người dùng, người dùng ít nhất đã có chút hy vọng đòi bồi thường.

Chỉ mới qua hơn mười ngày, lại một vụ hacker với quy mô lớn hơn bùng nổ, lần này sẽ kết thúc như thế nào?

DeFi còn nơi nào an toàn không?

Vấn đề bảo mật của DeFi đang ngày càng trở nên nghiêm trọng.

Một mặt là các vụ hacker không ngừng, mặt khác là mối đe dọa bảo mật liên tục từ AI như Mythos (có thể tham khảo "Phỏng vấn Odaily với Cosine: Mô hình mới hạt nhân của Anthropic bị rò rỉ, ảnh hưởng thế nào đến tấn công và phòng thủ bảo mật mã hóa?"). Đối với người dùng DeFi, biện pháp đối phó trước đây là cố gắng chuyển tiền vào các giao thức hàng đầu được kiểm toán đầy đủ và có uy tín thương hiệu tốt, nhưng hiện nay, ngay cả một giao thức đỉnh cao như Aave mà tiềm thức của người dùng cho là cực kỳ khó xảy ra vấn đề cũng bị ảnh hưởng gián tiếp, người dùng còn có thể chuyển tiền đến đâu?

Theo cá nhân, hiện tại thực sự không khuyến nghị người dùng để lại một lượng lớn tiền trên chuỗi, nếu thực sự có nhu cầu, hãy chắc chắn phân tán và cách ly danh mục đầu tư.

Tính đến thời điểm bài viết, nhiều chi tiết về sự kiện này vẫn chưa rõ ràng, Odaily sẽ tiếp tục theo dõi diễn biến sự kiện, hãy tiếp tục theo dõi.

Câu hỏi Liên quan

QSự kiện DeFi bị đánh cắp 292 triệu USD xảy ra như thế nào?

AVào ngày 19 tháng 4, hợp đồng bridge rsETH của Kelp DAO trên LayerZero bị tin tặc khai thác, dẫn đến mất 116.500 rsETH trị giá khoảng 292 triệu USD. Tin tặc nhận 1 ETH từ Tornado Cash làm vốn ban đầu, sau đó gọi hàm lzReceive để kích hoạt hợp đồng bridge và chuyển rsETH sang địa chỉ khác.

QNguyên nhân gốc rễ của cuộc tấn công này là gì?

ATheo phân tích từ D2 Finance, nguyên nhân chính là 'khóa private key trên chain nguồn bị xâm phạm'. Hợp đồng chỉ được bảo vệ bởi một tập hợp xác thực 1/1 (DVN), nghĩa là chỉ cần một giao dịch sai từ trình xác thực cũng đủ gây ra sự cố.

QAave bị ảnh hưởng như thế nào bởi vụ tấn công?

ATin tặc đã sử dụng rsETH bị đánh cắp làm tài sản thế chấp trên Aave V3, Compound V3 và Euler để vay WETH, với tổng nợ khoảng 236 triệu USD. Aave đã đóng băng thị trường rsETH và đang đánh giá thiệt hại. Umbrella - module bảo mật của Aave với 50 triệu USD WETH - có thể được sử dụng để bù đắp nợ xấu.

QCó bao nhiêu nợ xấu ước tính từ sự kiện này?

AChưa có con số chính xác, nhưng ước tính ban đầu cho thấy nợ xấu có thể lên tới hơn 100 triệu USD nếu rsETH giảm 19% giá trị. Tuy nhiên, Marc Zeller từ Aave Chan Initiative cho rằng con số thực tế có thể thấp hơn nhiều.

QĐây có phải là sự cố bảo mật lớn duy nhất trong tháng 4 không?

AKhông, đây là sự cố thứ hai trong tháng 4. Vào ngày 1 tháng 4, Drift Protocol trên Solana cũng bị tấn công với thiệt hại 280 triệu USD. Sự cố này làm dấy lên lo ngại về an ninh liên tục trong không gian DeFi.

Nội dung Liên quan

Bitmine Tiếp Tục Chiến Lược Tích Lũy Ethereum Mạnh Mẽ Trong Khi Các Công Ty Khác Thụt Lùi

Bitmine, một quỹ đầu tư Ethereum, đã tích lũy thêm 126.971 ETH trong tuần trước, nâng tổng tài sản lên 9,6 tỷ USD. Tài sản bao gồm 203 Bitcoin, 5,54 triệu ETH, cổ phần tại Beast Industries và Eightco Holdings, cùng tiền mặt. Bất chấp đợt suy giảm thị trường gần đây, Bitmine tiếp tục chiến lược tích lũy tích cực, với số ETH nắm giữ hiện chiếm 4,59% tổng nguồn cung. Chủ tịch Thomas 'Tom' Lee cho rằng nhu cầu cho các mạng lưới phi tập trung như Ethereum sẽ tăng cùng với sự phát triển của AI và nhấn mạnh thị trường đang ở đầu "mùa xuân crypto". Công ty cũng đã stake khoảng 4,72 triệu ETH (tương đương 7,7 tỷ USD), thu về lợi nhuận staking ước tính 230 triệu USD/năm. Trong khi nhiều doanh nghiệp kho bạc số khác đã ngừng tích lũy hoặc bán ra, Bitmine vẫn tiếp tục mua vào. Họ vừa công bố kế hoạch phát hành 3 triệu cổ phiếu ưu đãi để gây quỹ, nhằm mục đích mua thêm ETH, đầu tư chiến lược vào hệ sinh thái Ethereum và mở rộng cơ sở hạ tầng staking. Bitmine hiện có kho bạc Ethereum lớn nhất và tổng kho bạc tiền số lớn thứ hai toàn cầu.

TheNewsCrypto34 phút trước

Bitmine Tiếp Tục Chiến Lược Tích Lũy Ethereum Mạnh Mẽ Trong Khi Các Công Ty Khác Thụt Lùi

TheNewsCrypto34 phút trước

Đột phá bất ngờ trong AI thiết bị đầu cuối mà Apple khao khát: Mô hình nhận thức đầu tiên ra đời, 4B ngang tầm GPT-5.4

**Apple mong muốn về AI ở thiết bị đầu cuối đã có đột phá: Mô hình nhận thức đầu tiên ra đời, 4B thách thức GPT-5.4** Bài viết thảo luận về xu hướng và thách thức của AI trên thiết bị đầu cuối (edge AI), đặc biệt nhấn mạnh đến vấn đề chi phí điện toán (token cost) ngày càng tăng khi triển khai các mô hình lớn (LLM). Giải pháp được đề xuất bởi Andrej Karpathy là tách rời "lõi nhận thức" (khả năng suy luận, lập kế hoạch) khỏi "kiến thức" thuần túy trong mô hình, tạo ra các mô hình nhỏ gọn hơn nhưng hiệu quả. Công ty Trung Quốc Nextie (Minh Nhật Tân Trình) được giới thiệu là đã hiện thực hóa ý tưởng này với **Nextie Alpha**, được gọi là mô hình nhận thức đầu tiên trong ngành, với chỉ 4 tỷ tham số. Mô hình này được cho là đạt hiệu quả tương đương với các mô hình nghìn tỷ tham số như GPT-5.4 trong các nhiệm vụ trí tuệ tập thể (ví dụ: tranh luận, phản ánh), đồng thời có thể triển khai trên thiết bị đầu cuối (như MacBook, robot). Bài viết nêu bật ba lợi ích chính: 1. **Nâng cao chất lượng ra quyết định đa tác tử:** Cải thiện hiệu quả trong các hệ thống nhiều tác nhân AI hợp tác. 2. **Giảm chi phí điện toán đáng kể:** Chuyển từ chi phí điện toán đám mây sang chi phí điện năng thấp khi chạy trên thiết bị. 3. **Mở khóa các kịch bản chủ động (Proactive):** Cho phép các tác nhân AI hoạt động liên tục, tự chủ thay vì chỉ phản hồi lệnh, mở ra không gian thương mại lớn hơn. Nextie, với đội ngũ sáng lập từ Microsoft Xiaoice, có thành tích tạo ra các mô hình nhỏ hiệu quả cao. Họ đang tập trung vào lĩnh vực đa tác tử và trí tuệ tập thể, một lĩnh vực được các nhà đầu tư như OpenAI công nhận có tiềm năng lớn. Bài viết kết luận rằng mô hình nhận thức như Nextie Alpha không chỉ thay đổi quy mô tham số mà còn tái cấu trúc mô hình kinh tế của AI, khiến các sản phẩm AI chủ động, chi phí thấp trở nên khả thi và có thể định hình lại toàn bộ ngành.

marsbit1 giờ trước

Đột phá bất ngờ trong AI thiết bị đầu cuối mà Apple khao khát: Mô hình nhận thức đầu tiên ra đời, 4B ngang tầm GPT-5.4

marsbit1 giờ trước

Hoskinson Tuyên bố Cardano Có Thể Vượt Mặt Bitcoin Bằng Cách Giải Quyết Vấn Đề Tin Cậy Trong Tiền Mã Hóa

Charles Hoskinson, người sáng lập Cardano, tuyên bố mục tiêu cuối cùng của nền tảng này không chỉ là cạnh tranh thị phần tiền điện tử mà là trở thành cơ sở hạ tầng cho niềm tin toàn cầu. Trong một buổi livestream, ông lập luận rằng giá trị lâu dài của ADA phụ thuộc vào khả năng giảm thiểu sự phụ thuộc của thế giới vào các bên thứ ba đáng tin cậy, từ đó vượt qua cả Bitcoin. Hoskinson cho rằng cuộc khủng hoảng hiện tại trên thị trường là về sự tồn vong, khi các nhà đầu tư đặt câu hỏi về tính liên quan của tiền điện tử. Ông nhấn mạnh chức năng cốt lõi của ngành là giảm chi phí niềm tin trong thương mại toàn cầu, một lĩnh vực tốn hàng trăm tỷ USD mỗi năm cho kiểm toán, tuân thủ và trung gian. Giải pháp được ông đề xuất là "tính phản xạ có thể xác minh" – nơi mọi thứ tự mang bằng chứng về tính đúng đắn của mình, áp dụng từ bỏ phiếu đến tài chính và quản trị. Cardano được định vị là lớp lưu trữ cho các giao dịch này, với hợp đồng thông minh và bằng chứng không kiến thức làm công cụ. Hoskinson nêu bật bốn yếu tố làm Cardano khác biệt: động cơ phi tập trung (giao thức Ouroboros), mô hình kế toán (UTXO mở rộng), mở rộng mô-đun (qua Hydra và chuỗi đối tác như Midnight), và quản trị phi tập trung chuyên biệt. Ông thừa nhận quản trị là phần cần hoàn thiện, cần các chức năng điều hành mạnh hơn. Ông kết luận rằng nếu Cardano xây dựng thành công một hệ thống cho niềm tin có thể xác minh, ADA có thể trở thành "tiền tệ của niềm tin toàn cầu" và vượt mặt Bitcoin. Sự sống sót của hệ sinh thái ngay cả khi niềm tin vào người sáng lập bị mất sẽ chứng minh đây là một hệ thống có khả năng tự phục hồi thực sự.

bitcoinist2 giờ trước

Hoskinson Tuyên bố Cardano Có Thể Vượt Mặt Bitcoin Bằng Cách Giải Quyết Vấn Đề Tin Cậy Trong Tiền Mã Hóa

bitcoinist2 giờ trước

Arthur Hayes: Bong bóng AI sắp vỡ, thị trường tiền mã hóa chịu áp lực ngắn hạn

Bài viết của Arthur Hayes cảnh báo về nguy cơ vỡ bong bóng AI, gây áp lực ngắn hạn lên thị trường tiền mã hóa. Ông phân tích ba yếu tố chính: giá dầu tăng do căng thẳng địa chính trị ở eo biển Hormuz, các đợt IPO khổng lồ sắp tới của SpaceX, Anthropic và OpenAI, cùng những tuyên bố chính sách tiềm ẩn của cựu Tổng thống Trump nhằm vào ngành AI để tranh cử. Hayes lập luận rằng giá năng lượng cao sẽ làm tăng chi phí vận hành AI, trong khi việc chào bán cổ phần ồ ạt có thể vượt quá khả năng hấp thụ của thị trường. Ông dự đoán nếu Trump đưa ra các tuyên bố về việc đánh thuế hoặc siết chặt AI, nó có thể châm ngòi cho đợt bán tháo. Sự sụp đổ của thị trường AI sẽ kéo theo tiền mã hóa, bao gồm cả Bitcoin, do dòng tiền trước đây đổ vào AI sẽ cạn kiệt và tín dụng toàn ngành có thể bị thắt chặt. Hayes tiết lộ quỹ Maelstrom của ông đã chuyển sang nắm giữ các cổ phiếu sản xuất năng lượng, bán toàn bộ cổ phiếu AI và cắt giảm phần lớn danh mục tiền mã hóa, chỉ giữ lại Bitcoin và Ethereum để bảo toàn vốn, chờ đợi cơ hội mua lại sau khi thị trường chạm đáy.

marsbit2 giờ trước

Arthur Hayes: Bong bóng AI sắp vỡ, thị trường tiền mã hóa chịu áp lực ngắn hạn

marsbit2 giờ trước

‘Bản đồ tương lai’ của OpenAI: Mang AI đến với mọi người trên toàn cầu

Vài thế hệ một lần, một công nghệ mới xuất hiện và thay đổi mọi thứ. Giống như điện lực đã biến đổi cuộc sống vào thế kỷ 20, trí tuệ nhân tạo (AI) ngày nay cũng đang tạo ra một bước ngoặt tương tự. Sức mạnh thực sự của AI không nằm ở bản thân công nghệ, mà ở việc mọi người có thể sử dụng nó để làm gì - từ hỗ trợ chăm sóc sức khỏe, học kỹ năng mới đến thúc đẩy khám phá khoa học. Tầm nhìn của OpenAI là xây dựng một tương lai nơi AI phục vụ con người, trao quyền rộng rãi cho đại chúng thay vì tập trung quyền lực vào một số ít tổ chức. Họ cam kết phát triển AI an toàn, phù hợp với ý định của con người và đặt con người vào vị trí giám sát, kiểm soát. Tự động hóa hoàn toàn không phải là mục tiêu; AI nên hỗ trợ con người hoàn thiện bản thân, trong khi con người đưa ra các quyết định quan trọng, áp dụng các giá trị và sự phán xét. Ba mục tiêu cốt lõi của OpenAI là: 1) Xây dựng "nhà nghiên cứu AI tự động" để tăng tốc nghiên cứu chính về AI một cách an toàn; 2) Thúc đẩy phát triển kinh tế và đảm bảo lợi ích được chia sẻ rộng rãi; 3) Cung cấp một AGI cá nhân cho mỗi người trên Trái đất, cho phép họ hưởng lợi từ công nghệ này theo cách riêng của mình. OpenAI tin rằng phân phối quyền lực rộng rãi là chìa khóa cho một tương lai kiên cường và tốt đẹp hơn. Tương lai AI lý tưởng phải là nơi nhiều cá nhân, doanh nghiệp và quốc gia đều có thể xây dựng, hưởng lợi và nắm giữ quyền lực. Nếu thực hiện đúng, AI có thể trở thành nền tảng thúc đẩy năng suất, sáng tạo và thịnh vượng chung, từ đó thực hiện sứ mệnh đảm bảo AGI mang lại lợi ích cho toàn nhân loại.

marsbit2 giờ trước

‘Bản đồ tương lai’ của OpenAI: Mang AI đến với mọi người trên toàn cầu

marsbit2 giờ trước

Giao dịch

Giao ngay
Hợp đồng Tương lai
活动图片

Danh mục Phổ biếnright-arrow

Thẻ Nổi bậtright-arrow