Vụ khai thác Kelp trị giá 292 triệu USD đang trở thành một trong những cú sốc lớn nhất của DeFi trong năm nay, không chỉ vì số tiền bị rút, mà vì cách nó lan từ một lỗi kỹ thuật thành rủi ro hệ thống cho các giao thức cho vay lớn như Aave. Trong bối cảnh DeFi chưa kịp hồi niềm tin sau vụ Drift, cú đánh mới này đang làm rõ một vấn đề cốt lõi: chỉ một điểm xác thực yếu cũng đủ làm cả chuỗi tài sản thế chấp, thanh khoản và niềm tin thị trường rung chuyển.
Lỗ hổng bắt đầu từ rsETH và cầu nối liên blockchain
Theo các phân tích ban đầu, tâm điểm của vụ việc là rsETH của Kelp, một token ETH có tạo lợi suất, cùng cơ chế cầu nối dùng để chuyển tài sản giữa các blockchain. Về nguyên lý, hệ thống kiểu này khóa tài sản thật ở một nơi rồi phát hành token tương ứng ở nơi khác. Vấn đề nằm ở chỗ bên xác nhận giao dịch của Kelp dường như được thiết kế theo kiểu một đầu mối ký duy nhất.
Nếu đúng như vậy, đây là một cấu hình cực kỳ mong manh. Kẻ tấn công chỉ cần chiếm được hoặc giả mạo quyền ký là có thể tạo ra lượng lớn token mà không cần tài sản bảo chứng thật phía sau.
Token “ảo” được biến thành tài sản thế chấp để rút ETH thật
Sau khi tạo ra lượng lớn rsETH không có tài sản bảo chứng, kẻ tấn công không dừng lại ở việc nắm token giả. Chúng lập tức mang số token này đi gửi vào các giao thức cho vay, chủ yếu là Aave, rồi vay ra ETH thật và rút thanh khoản khỏi hệ thống.
Đó là lúc một vụ khai thác của riêng Kelp biến thành vấn đề của toàn bộ thị trường. Aave và các giao thức liên quan bị bỏ lại với loại tài sản thế chấp khó bán, khó thanh lý, trong khi tài sản có giá trị thực đã bị lấy ra ngoài.
Aave bị cuốn vào vòng xoáy rút tiền và nợ xấu
Hệ quả là Aave chứng kiến khoảng 6 tỷ USD tài sản bị rút khỏi giao thức sau vụ việc, còn token Aave giảm khoảng 15% trong 24 giờ. Điều này cho thấy phản ứng của thị trường không chỉ là sốc vì vụ hack, mà còn là nỗi sợ về một dạng “chạy ngân hàng” trong DeFi: người dùng tranh nhau rút trước khi tài sản thế chấp xấu kéo hệ thống xuống sâu hơn.
Điểm chưa rõ nhất vẫn là bên xác thực bị phá bằng cách nào
Cho tới lúc này, điều quan trọng nhất vẫn chưa có lời giải rõ ràng: hệ thống xác thực đã bị hack, cấu hình sai, hay bị đánh lừa? Việc cơ chế này phụ thuộc vào một nút xác thực chính thức của LayerZero càng khiến câu chuyện trở nên nhạy cảm hơn. Quy mô vụ việc cũng cho thấy đây khó là một nhóm nhỏ tấn công nghiệp dư.
DeFi đang bị buộc phải học bài học cũ với cái giá ngày càng đắt
Vụ Kelp cho thấy DeFi càng kết nối chặt, thiệt hại từ một lỗi cấu trúc càng lan nhanh. Điểm đáng lo không chỉ là số tiền mất, mà là cách tài sản mới được đưa vào các giao thức cho vay vẫn có thể mang theo những cấu hình rủi ro lẽ ra phải bị phát hiện sớm hơn. Tích cực duy nhất là mỗi cú sốc lớn như thế này lại buộc DeFi phải sửa mình nhanh hơn. Nhưng ở chiều ngược lại, niềm tin của nhà đầu tư rõ ràng đang bị bào mòn mạnh, và năm 2026 đang dần mang dáng dấp của một năm tồi tệ đặc biệt với các vụ hack trong DeFi.
