Vụ trộm DeFi lớn nhất năm 2026, tin tặc dễ dàng lợi dụng lỗ hổng bảo mật của Aave.

Tác giả: Xiao Bing, Shenchao TechFlow

Vào lúc 17:35 (UTC) ngày 18 tháng 4, một ví điện tử đã rửa tiền thông qua Tornado Cash đã gửi một thông điệp xuyên chuỗi đến hợp đồng LayerZero EndpointV2.

Ý nghĩa của thông điệp rất đơn giản: một người dùng trên một chuỗi nhất định muốn chuyển rsETH trở lại mạng chính Ethereum. LayerZero đã truyền đạt chính xác chỉ thị theo đúng thiết kế giao thức. Hợp đồng bắc cầu được Kelp DAO triển khai trên mạng chính cũng đã thực hiện việc phát hành một cách chính xác như thiết kế.

116.500 rsETH, trị giá khoảng 292 triệu đô la vào thời điểm đó, đã được chuyển trong một giao dịch duy nhất đến một địa chỉ do kẻ tấn công kiểm soát.

Vấn đề là không ai trên chuỗi kia từng gửi rsETH này. "Yêu cầu liên chuỗi" này được bịa đặt hoàn toàn; LayerZero tin vào điều đó, và cầu nối của Kelp cũng tin vào điều đó.

Bốn mươi sáu phút sau, hệ thống đa tín hiệu khẩn cấp của Kelp cuối cùng cũng tạm dừng hoạt động. Vào thời điểm này, kẻ tấn công đã hoàn thành nửa sau của hành động, sử dụng rsETH bị đánh cắp, về cơ bản là không có tài sản thế chấp, để thế chấp vào Aave V3, vay khoảng 236 triệu đô la giá trị wETH.

Đây là vụ trộm DeFi lớn nhất năm 2026 tính đến thời điểm hiện tại, vượt qua giao thức Drift, vốn bị tin tặc Triều Tiên tấn công vào ngày 1 tháng 4 với số tiền lên tới vài triệu đô la, nhưng điều thực sự khiến ngành công nghiệp này rùng mình không chỉ là số tiền.

Diễn biến vụ tấn công: Ba kèo cá cược từ 17:35 đến 18:28

Hãy khôi phục lại dòng thời gian.

17:35 UTC, lần thành công đầu tiên. Kẻ tấn công đã gọi hàm lzReceive trên hợp đồng LayerZero EndpointV2, và một ví được nạp tiền bằng Tornado Cash đã gửi một gói dữ liệu xuyên chuỗi giả mạo đến hợp đồng cầu nối của Kelp. Quá trình xác minh hợp đồng đã thành công và 116.500 rsETH đã được chuyển đến địa chỉ của kẻ tấn công. Một giao dịch duy nhất. Lau dọn.

18:21 UTC, lệnh tạm dừng khẩn cấp đa chữ ký của Kelp đã đóng băng các hợp đồng rsETH cốt lõi trên mạng chính và nhiều máy chủ L2. 46 phút sau khi vụ tấn công xảy ra.

Vào lúc 18:26 và 18:28 UTC, kẻ tấn công đã thực hiện thêm hai lần tấn công nữa, mỗi lần đều cố gắng rút 40.000 rsETH (khoảng 10 triệu đô la) bằng gói dữ liệu LayerZero. Cả hai đều đã được hoàn trả; hợp đồng đã bị đóng băng, nhưng kẻ tấn công rõ ràng vẫn đang cố gắng rút hết số tiền còn lại.

Từ lúc đạt được thành công đầu tiên cho đến khi Kelp đưa ra tuyên bố công khai, đã mất gần ba tiếng đồng hồ.

Bài đăng đầu tiên của Kelp trên X không được gửi cho đến 20:10 UTC, và nội dung rất thận trọng: hoạt động đáng ngờ xuyên chuỗi liên quan đến rsETH đã được phát hiện, các hợp đồng rsETH trên mạng chính và nhiều L2 đã bị tạm dừng, và họ đang hợp tác với LayerZero, Unichain, các kiểm toán viên và các chuyên gia bảo mật bên ngoài để phân tích nguyên nhân gốc rễ.

Tuy nhiên, trước khi có thông báo chính thức, ZachXBT, một chuyên gia phân tích chuỗi khối, đã gióng lên hồi chuông cảnh báo trên kênh Telegram của mình trước 3 giờ chiều giờ miền Đông, liệt kê sáu địa chỉ ví liên quan đến vụ trộm và chỉ ra rằng ví tấn công đã chuẩn bị tiền thông qua Tornado Cash trước khi bắt đầu hành động của mình. Ông không nêu tên Kelp DAO, nhưng các nhà phân tích trên chuỗi đã kết nối các địa chỉ chỉ trong vài giờ.

Đây là một **chiến dịch được lên kế hoạch từ trước**.