# Bài viết Liên quan Cấu hình

Mã không có lỗi nhưng vẫn bị đánh cắp, thủ phạm vụ hack lớn nhất 2026 "Lỗ hổng cấu hình DVN" là gì?

Vào ngày 18/4/2026, Kelp DAO đã trở thành nạn nhân của vụ tấn công DeFi lớn nhất năm với thiệt hại 293 triệu USD, mặc dù hợp đồng thông minh của giao thức không hề chứa lỗi mã. Nguyên nhân chính đến từ lỗ hổng cấu hình trong cơ chế xác thực tin nhắn đa chuỗi (DVN) của LayerZero V2. Kelp DAO đã cấu hình chế độ xác thực 1-of-1, nghĩa là chỉ cần một node DVN duy nhất xác nhận để tin nhắn đa chuỗi được coi là hợp lệ. Kẻ tấn công đã chiếm quyền kiểm soát node này, tạo tin nhắn giả mạo để in 116,500 rsETH (tiền mã hóa không có tài sản đảm bảo) từ không khí, sau đó dùng chúng làm tài sản thế chấp để vay 236 triệu USD WETH từ các giao thức cho vay như Aave và Compound. Sự cố này làm nổi bật điểm mù trong bảo mật DeFi: các công cụ kiểm tra mã tiêu chuẩn không thể phát hiện lỗi cấu hình hoặc rủi ro từ bảo mật khóa riêng tư. Đây là vụ việc thứ hai sau sự cố Nomad (190 triệu USD) cho thấy lỗi cấu hình có thể gây thiệt hại tương đương các lỗi mã thông thường, đòi hỏi các tiêu chuẩn và công cụ đánh giá mới cho các tham số triển khai quan trọng.

marsbit04/19 23:58