Một loạt phản ứng bảo mật cấp độ giao thức đã diễn ra sau vụ khai thác KelpDAO rsETH trị giá 292 triệu USD vào ngày 19/04/2026, với BitGo, Polygon và Katana nhanh chóng hành động để ngăn chặn rủi ro lan tỏa.
Cuộc tấn công đã rút đi 116,500 rsETH từ cầu nối xuyên chuỗi của Kelp DAO (hoạt động dựa trên LayerZero) thông qua một tin nhắn giả mạo vượt qua được cấu hình của Mạng Xác minh Phi tập trung (DVN).
Các giao thức nhanh chóng kiểm soát hậu quả
BitGo cùng BiT Global Trust đã tạm ngưng hoạt động của LayerZero OFT DVN đối với Wrapped Bitcoin (WBTC) như một biện pháp phòng ngừa. Công ty xác nhận rằng tài sản của người dùng vẫn an toàn và cam kết sẽ cập nhật thông tin khi có diễn biến mới.
Polygon cho biết chuỗi, Agglayer và toàn bộ hệ sinh thái của họ không bị ảnh hưởng bởi sự cố này. Mạng lưới nhấn mạnh đã xử lý an toàn tổng giá trị giao dịch hơn 2.000 tỷ USD cho đến thời điểm hiện tại.
Katana đã tạm dừng đường dẫn OFT trên Vaultbridge vốn dùng cấu hình DVN 2/3. Việc chuyển tài sản qua Agglayer, nơi xác minh bằng bằng chứng không kiến thức thay vì multisig xác nhận theo quyền, vẫn diễn ra bình thường.
Trong khi đó, Meir Dolev – CTO kiêm đồng sáng lập Cyvers – tiết lộ rằng KelpDAO chỉ cách việc mất thêm 100 triệu USD đúng ba phút. Danh sách đen phản ứng nhanh đã ngăn cản kẻ tấn công trước khi hắn kịp thực hiện lần rút tiền thứ hai.
Lãnh đạo ngành kêu gọi thiết lập giới hạn tốc độ giao dịch
Sự cố này một lần nữa làm dấy lên yêu cầu bổ sung giới hạn tốc độ vào các giao thức DeFi. Guy Young – thành viên Ethena – cho rằng các tổ chức phát hành tài sản nên triển khai cơ chế kiểm soát tốc độ chuyển tài sản xuyên chuỗi, bổ sung trên LayerZero OFT tiêu chuẩn.
“Chúng tôi đã xây dựng một giải pháp bổ sung lên trên OFT tiêu chuẩn để giới hạn tốc độ chuyển tài sản xuyên chuỗi ở mức 10 triệu USD mỗi giờ với mỗi DVN, ngoài ra hợp đồng mint cũng giới hạn ở mức 10 triệu USD mỗi block. Giới hạn đầu tiên sẽ ngăn được vụ Kelp, giới hạn thứ hai ngăn vụ Resolv,” anh chia sẻ.
Cấu hình của Ethena sẽ giúp giới hạn thiệt hại ở mức 10 triệu USD trên mỗi chuỗi mỗi giờ, ngay cả khi một DVN bị kiểm soát hoàn toàn. Young nhận định trả giá bằng một chút bất tiện cho người dùng là đáng để tránh rủi ro mất mát khổng lồ.
Keone Hon – CEO, đồng sáng lập Monad – đề xuất các giao thức cho vay tổng hợp nên áp dụng “smart cap”, tức là giới hạn việc tăng nguồn cung tài sản thế chấp trong một thời gian nhất định.
Anh lấy ví dụ vụ hack Resolv hồi tháng 03/2026, khi hacker tạo ra số lượng token vô hạn nhưng chỉ rút được 24 triệu USD do các cửa thoát vốn nhỏ.
Theo Hon, các giới hạn nguồn cung quá cao nên được xem là rủi ro chứ không phải là bằng chứng cho sự thành công của giao thức. Nếu giới hạn nguồn cung lớn hơn một chút so với nhu cầu thật sự và được điều chỉnh dần theo thời gian, các nhà đầu tư nhỏ lẻ gửi rsETH đã có thể giảm thiệt hại tới 200 triệu USD.
Sự cố của KelpDAO hiện là vụ khai thác DeFi lớn nhất năm 2026. Việc các giao thức có triển khai các biện pháp giới hạn tốc độ như đề xuất của các lãnh đạo trong ngành hay không có thể quyết định mức độ thiệt hại của vụ tấn công tiếp theo.
