Một kẻ tấn công dường như đã rút 116.500 rsETH từ cầu nối xuyên chuỗi do LayerZero của Kelp DAO cung cấp vào thứ Bảy, theo dữ liệu on-chain. Số tiền bị đánh cắp trị giá khoảng 292 triệu đô la theo giá thị trường hiện tại.
Giao dịch rút tiền thành công xảy ra vào lúc 17:35 UTC, khi một ví do kẻ tấn công kiểm soát đã gọi lzReceive trên hợp đồng EndpointV2 của LayerZero. Lệnh gọi này đã kích hoạt hợp đồng cầu nối của Kelp giải phóng 116.500 rsETH đến một địa chỉ tấn công riêng biệt, theo nhật ký sự kiện của giao dịch. Ví của kẻ tấn công đã được cấp vốn khoảng 10 giờ trước đó thông qua pool 1 ETH của Tornado Cash, một kỹ thuật che giấu danh tính phổ biến trong các vụ khai thác DeFi.
"KelpDAO dường như đã bị đánh cắp hơn 280 triệu đô la một giờ trước trên Ethereum và Arbitrum," nhà điều tra blockchain ZachXBT đã viết trong một tin nhắn Telegram. "Các địa chỉ tấn công được cấp vốn thông qua Tornado Cash."
Kelp DAO, một sản phẩm thuộc hệ sinh thái KernelDAO, đã phản ứng khoảng 46 phút sau đó. Vào lúc 18:21 UTC, multisig tạm dừng khẩn cấp của giao thức đã thực hiện lệnh pauseAll trên hợp đồng cấu hình token liquid restaking của Kelp, kích hoạt các sự kiện Paused trên các thành phần cốt lõi của giao thức, bao gồm LRT Deposit Pool, hợp đồng Withdrawal, LRT Oracle và chính token rsETH. Hai nỗ lực tấn công tiếp theo từ kẻ tấn công vào lúc 18:26 UTC và 18:28 UTC đều bị hoàn tác, cho thấy việc tạm dừng đã ngăn chặn các vụ rút tiền tiếp theo.
Vụ khai thác dường như đã nhắm vào cầu nối OFT (Omnichain Fungible Token) của LayerZero của Kelp, vốn cho phép rsETH di chuyển giữa các mạng. 116.500 rsETH bị lấy đi chiếm khoảng 18% tổng cung lưu hành của rsETH, mà CoinGecko liệt kê là khoảng 630.000 token. rsETH hiện được triển khai trên hơn 20 mạng, bao gồm Base, Arbitrum, Linea, Blast, Mantle và Scroll, theo CoinGecko.
Giá AAVE đã giảm khoảng 10% sau sự cố, theo trang giá Aave của The Block, trong bối cảnh có báo cáo rằng nền tảng cho vay này có thể phải gánh chịu nợ xấu sau vụ tấn công. Aave đã phản ứng với sự cố bằng cách đóng băng các thị trường rsETH trên Aave V3 và V4 và nhóm của họ đã xác nhận trên X rằng vụ khai thác có liên quan đến rsETH chứ không phải các hợp đồng thông minh của Aave. "Chúng tôi đang xem xét thông tin về các khoản vay rsETH trên Aave đã xảy ra sau vụ khai thác và sẽ chia sẻ thêm chi tiết sớm nhất có thể," Aave đã viết. "Nếu giao thức tích lũy nợ xấu từ sự cố này, tài sản Umbrella có thể được sử dụng để bù đắp thâm hụt."
Sự kiện này đánh dấu sự cố bảo mật thứ hai liên quan đến rsETH đối với Kelp trong khoảng một năm. Vào tháng 4 năm 2025, giao thức đã tạm dừng việc gửi và rút tiền sau khi một lỗi trong hợp đồng phí của nó gây ra việc đúc rsETH dư thừa. Không có tiền của người dùng nào bị mất trong sự cố đó, theo tiết lộ của giao thức vào thời điểm đó.
Tính đến thời điểm xuất bản, cả @KelpDAO và @kernel_dao đều chưa đăng tuyên bố nào trên X. rsETH đang giao dịch ở mức khoảng 2.500 đô la tại thời điểm xuất bản.
Cập nhật lúc 20:00 UTC với chi tiết từ tuyên bố của Aave. Đây là một câu chuyện đang diễn ra.
Tuyên bố miễn trừ trách nhiệm: The Block là một cơ quan truyền thông độc lập chuyên cung cấp tin tức, nghiên cứu và dữ liệu. Tính đến tháng 11 năm 2023, Foresight Ventures là nhà đầu tư lớn của The Block. Foresight Ventures đầu tư vào các công ty khác trong không gian tiền điện tử. Sàn giao dịch tiền điện tử Bitget là LP chính cho Foresight Ventures. The Block tiếp tục hoạt động độc lập để cung cấp thông tin khách quan, có tác động và kịp thời về ngành công nghiệp tiền điện tử. Dưới đây là các tiết lộ tài chính hiện tại của chúng tôi.
© 2026 The Block. Mọi quyền được bảo lưu. Bài viết này được cung cấp chỉ với mục đích thông tin. Bài viết này không được đưa ra hoặc có ý định sử dụng như lời khuyên pháp lý, thuế, đầu tư, tài chính hoặc các lời khuyên khác.
