Chưa đầy một ngày sau khi những kẻ tấn công rút cạn 291 triệu USD tiền mã hóa từ cơ sở hạ tầng liên quan đến dự án tài chính phi tập trung (DeFi) Kelp DAO, người dùng trên Aave, một trong những giao thức DeFi được thử nghiệm kỹ lưỡng nhất, đã gặp khó khăn trong việc rút tiền giữa lúc khủng hoảng thanh khoản.
Một cầu nối (bridge) thường cho phép người dùng di chuyển tài sản có tên rsETH từ mạng lưới này sang mạng lưới khác đã bị khai thác (exploit) vào thứ Bảy, khiến Aave phải đóng băng các thị trường liên quan đến token này, mà những kẻ tấn công đã sử dụng để vay tiền từ nền tảng, giao thức cho vay cho biết trong một bài đăng trên X.
Trong khi đó, Kelp DAO cho biết trong một bài đăng trên X rằng họ đã "tạm dừng các hợp đồng (contract) rsETH" trên mainnet của Ethereum và một số mạng lưới mở rộng layer-2 khi đang điều tra hoạt động đáng ngờ.
Earlier today we identified suspicious cross-chain activity involving rsETH. We have paused rsETH contracts across mainnet and several L2s while we investigate.
We are working with @LayerZero_Core, @unichain, our auditors and top security experts on RCA.
We will keep you…
— Kelp (@KelpDAO) April 18, 2026
Hoạt động của những kẻ tấn công trên Aave đã khiến cái gọi là tỷ lệ sử dụng (utilization rate) của một pool cho vay cốt lõi tăng vọt lên 100%, cho thấy rằng những người dùng đã gửi Ethereum và wrapped Ethereum trước đó còn rất ít hoặc không có thanh khoản để rút, dữ liệu Aavescan cho thấy.
Một giờ trước khi Aave đóng băng các thị trường, công ty bảo mật blockchain PeckShield đã gắn cờ một giao dịch cho thấy 116.500 rsETH, trị giá 291 triệu USD vào thời điểm đó, chảy vào một ví mới.
Những kẻ tấn công không bỏ trốn với rsETH đã được phát hành một cách độc hại từ cầu nối. Thay vào đó, chúng đã sử dụng Aave để vay các khoản tiền thông thường, tạo ra “nợ xấu khổng lồ”, Francesco Andreoli, trưởng bộ phận quan hệ nhà phát triển tại Consensys và MetaMask, cho biết trong một bài đăng trên X. (Tuyên bố miễn trừ trách nhiệm: Consensys là một trong nhiều nhà đầu tư vào Decrypt, một tổ chức độc lập về biên tập.)
Token quản trị của Aave đã giảm xuống còn 90,13 USD vào Chủ Nhật, giảm 16% trong ngày qua, theo CoinGecko. Ethereum giảm 2% xuống còn 2.300 USD trong cùng thời kỳ.
Khi người dùng gặp khó khăn trong việc rút tiền từ Aave, họ bắt đầu vay dựa trên các khoản tiền gửi của mình bằng stablecoin, làm căng thẳng thanh khoản hơn nữa như một dấu hiệu của “những tác động phụ tiêu cực,” cho biết monetsupply.eth, người đứng đầu chiến lược ẩn danh tại dự án DeFi Spark, trong một bài đăng trên X.
Vụ khai thác Kelp DAO và những hậu quả sau đó trên Aave đã gây ra một làn sóng rút tiền lớn từ một số giao thức DeFi, ngay cả những giao thức không bị ảnh hưởng, theo 0xngmi, đồng sáng lập ẩn danh của nhà cung cấp dữ liệu DefiLlama. Trên cơ sở ròng, người dùng đã rút 6,2 tỷ USD từ Aave tính đến sáng sớm Chủ Nhật, họ cho biết trong một bài đăng trên X.
The Aave situation is bad and getting worse. Multiple other pools are hitting 100% utilization, leaving lenders stuck and the protocol at risk of further bad debt.
Lending rates have increased to 10-15%, a notable increase but still not an appropriate reward for the perceived…
— Quit (@0xQuit) April 19, 2026
Với việc sự lây lan dường như đang lan rộng, vụ khai thác mới nhất của DeFi cung cấp “nhiều đạn dược” cho những nhà phê bình hoài nghi về các hệ thống tìm cách thay thế các trung gian tài chính truyền thống bằng mã code, Salman Banei, tổng cố vấn tại Plume, một mạng lưới tập trung vào token hóa, cho biết trong một bài đăng trên X.
Kelp DAO phát hành rsETH, một token staking thanh khoản cho phép người dùng kiếm phần thưởng staking Ethereum và restaking EigenLayer. Nó đóng vai trò như một “biên lai” có thể giao dịch cho những người gửi tiền vào Kelp DAO. Cầu nối Kelp DAO được xây dựng trên cơ sở hạ tầng được thiết kế bởi LayerZero, một giao thức cho phép các ứng dụng DeFi gửi tin nhắn và chuyển tài sản qua các blockchain.
Stacy Muur, một nhà nghiên cứu blockchain nổi tiếng, cho biết trong một bài đăng trên X rằng vụ khai thác dường như dựa vào một điểm yếu duy nhất (single point of failure). Cô viết rằng một tin nhắn “ma” (phantom) được những kẻ tấn công sử dụng về cơ bản đã lừa cầu nối của Kelp DAO phát hành rsETH trên Ethereum mà không loại bỏ một lượng token tương ứng khỏi lưu thông trên Ethereum layer-2 Unichain.
Tuy nhiên, một số người theo dõi đã nóng lòng tìm kiếm một con đường phía trước, bao gồm doanh nhân tiền mã hóa và người sáng lập Tron Justin Sun. Anh ta đã cố gắng đàm phán, lập luận rằng những kẻ tấn công cuối cùng sẽ gặp khó khăn trong việc tiêu thụ số tiền bị đánh cắp.
“Bạn muốn bao nhiêu?” anh ấy hỏi chúng trong một bài đăng trên X. “Việc hy sinh cả Aave và Kelp DAO và để chúng sụp đổ vì vụ hack này đơn giản là không đáng.”
