Tranh cãi hậu vụ tấn công Kelp DAO vẫn đang kéo dài khi các bên tìm cách đùn đẩy trách nhiệm cho nhau, trong khi Aave tuyên bố bản thân có thể phải gánh nợ xấu 230 triệu USD trong trường hợp xấu nhất.
Kelp DAO và LayerZero đổ lỗi cho nhau sau vụ hack, Aave đối mặt với "nợ xấu" 230 triệu USD
Kelp DAO đổ lỗi cho LayerZero
Vụ tấn công nhằm vào Kelp DAO gây thiệt hại gần 300 triệu USD không chỉ tạo ra cú sốc lớn về mặt tài chính mà còn làm bùng phát tranh cãi gay gắt giữa ba cái tên liên quan tới sự việc là Kelp DAO, LayerZero và Aave.
Trong khi hậu quả vẫn chưa được giải quyết rõ ràng, các bên liên tục đưa ra những quan điểm trái ngược về trách nhiệm, khiến vụ việc đang dần leo thang thành một cuộc chiến đổ lỗi kéo dài và khó tìm được tiếng nói chung.
Như Coin68 đưa tin, LayerZero cho rằng nguyên nhân cốt lõi nằm ở cấu hình bảo mật của Kelp DAO khi dự án này sử dụng mô hình xác minh 1-of-1 DVN khi chỉ có một bên duy nhất kiểm chứng giao dịch cross-chain.
Tuy nhiên, Kelp DAO cho rằng nguyên nhân không nằm ở thiết kế của họ, mà xuất phát từ hạ tầng của LayerZero, vốn đã được phía giao thức này phê duyệt trước đó.
Trong bản tường thuật đăng tải trên X, Kelp DAO đã nhanh chóng công bố bản cập nhật chi tiết nhằm làm rõ diễn biến sự cố, đồng thời bác bỏ quan điểm cho rằng lỗi xuất phát từ phía dự án.
— Kelp (@KelpDAO) April 20, 2026
Theo Kelp, vụ tấn công ngày 18/04 bắt nguồn từ việc hạ tầng RPC do LayerZero vận hành bị xâm nhập, khi hai node bị kiểm soát và node còn lại bị tấn công DDoS cùng lúc.
Kelp nhấn mạnh rằng họ không trực tiếp xây dựng hay vận hành hệ thống RPC nói trên, và coi đây là một cuộc tấn công nhằm vào hạ tầng của LayerZero.
Đối với vấn đề cấu hình bảo mật, dự án cho biết mô hình 1-of-1 DVN được sử dụng là thiết lập mặc định trong tài liệu của LayerZero dành cho các triển khai OFT, đồng thời đã được phía LayerZero phê duyệt là phù hợp trong quá trình làm việc, kể cả khi Kelp mở rộng sang các mạng Layer 2.
Kelp DAO còn cho biết hacker còn cố gắng tiến hành tấn công thêm lần nữa để rút khoảng 40.000 rsETH (gần 95 triệu USD) bằng một giao dịch giả. Tuy nhiên, lần này đã bị chặn kịp thời nhờ các biện pháp bảo mật được kích hoạt ngay sau sự cố.
Ngay sau bài đăng trên, nhà sáng lập The Rollup Andy cho rằng phát biểu mới nhất từ Kelp DAO cho thấy rõ dự án đang đùn đẩy trách nhiệm sang LayerZero khi cho rằng hạ tầng RPC bị xâm nhập là do LayerZero vận hành hay việc cấu hình 1-of-1 DVN là thiết lập do LayerZero đề xuất và duy trì.
Wow, KelpDAO comes out and says:
— Andy (@andyyy) April 20, 2026
> 2 of LayerZero’s RPCs were hacked
> it was LayerZero internal compromise that led to the exploit
> they took fast action to prevent another $75m vulnerability
> the 1/1 DVN was the suggested setup from LayerZero & even after they asked… https://t.co/O6n0QEstsd
Tuy vậy, đến thời điểm hiện tại, vẫn chưa có bên nào thực sự đứng ra nhận trách nhiệm, đồng thời phương án xử lý cũng như cách phân bổ thiệt hại, đặc biệt với người dùng Aave, vẫn chưa được làm rõ.
Phần đông ý kiến cộng đồng thì đều cho rằng cả 3 liên quan đến vụ việc đều có lỗi: Kelp DAO thì sử dụng cấu hình DVN thiếu an toàn, LayerZero thì để bị xâm nhập vào hệ thống nội bộ và bị tấn công qua RPC, còn Aave thì làm sự việc liên đới lan rộng vì cho phép sử dụng rsETH làm thế chấp mà không quản lý hết rủi ro.
The DVN compromise is LayerZero's fault.
— bebis (@0xBebis_) April 20, 2026
The insecure DVN config is KelpDAO's fault.
The contagion is Aave's fault.
Hope this helps 👍 https://t.co/VXAsvBkawj
Aave đối mặt nguy cơ thiệt hại tới 230 triệu USD
Vụ tấn công vào Kelp DAO không chỉ dừng lại ở thiệt hại của riêng dự án này, mà còn đẩy Aave vào tình thế rủi ro nghiêm trọng.
Update on rsETH incident:@LlamaRisk has published a report outlining the rsETH incident, the immediate actions taken, its impact on Aave, and potential paths forward.
— Aave (@aave) April 20, 2026
All service providers have been working to assess the two potential bad debt scenarios on the Aave protocol.…
Theo báo cáo chính thức từ Aave Labs và LlamaRisk, hacker đã không bán số rsETH đánh cắp được ra thị trường, mà sử dụng tới 89.567 rsETH làm tài sản thế chấp trên Aave để vay khoảng 190 triệu USD ETH và các tài sản liên quan trên nhiều mạng như Ethereum và Arbitrum.
Vấn đề chính là số rsETH này thực chất không có tài sản đảm bảo phía sau. Do lỗi ở bridge, token được mở khóa mà không hề bị đốt ở chain ban đầu, nên số lượng rsETH nhiều hơn tài sản thật.
Vì vậy, Aave đã vô tình cho vay dựa trên tài sản “ảo”. Nếu giá trị thật bị điều chỉnh lại, các khoản vay này sẽ không còn đủ tài sản đảm bảo và dễ trở thành nợ xấu.
Theo phân tích của Aave, thiệt hại cuối cùng sẽ phụ thuộc vào cách Kelp DAO xử lý phần tài sản bị thiếu hụt. Hiện có hai kịch bản chính:
- Nếu thiệt hại được chia đều cho toàn bộ người nắm giữ rsETH, token này có thể mất giá khoảng 15%, kéo theo khoản nợ xấu ước tính khoảng 123 triệu USD cho Aave. Trong kịch bản này, quỹ bảo hiểm Umbrella của Aave có thể được sử dụng để bù đắp một phần thiệt hại, nhưng hiện đã có tới khoảng 80% lượng ETH trong quỹ được yêu cầu rút, buộc giao thức phải cân nhắc đóng băng toàn bộ hoạt động nạp, rút, chuyển và cả cơ chế cắt lỗ.
- Nếu thiệt hại chỉ tập trung ở các phiên bản rsETH trên Layer 2, mức độ ảnh hưởng sẽ nghiêm trọng hơn nhiều, với tổng nợ xấu có thể lên tới khoảng 230 triệu USD, chủ yếu dồn vào các hệ như Arbitrum và Mantle. Khi đó, Umbrella gần như không thể hỗ trợ do chỉ áp dụng cho Ethereum mainnet, và các khoản lỗ sẽ phải xử lý bằng nguồn khác như quỹ DAO hoặc giải pháp từ Kelp.
Aave DAO hiện đang nắm giữ khoảng 181 triệu USD tài sản, bao gồm ETH, token AAVE và stablecoin, đóng vai trò là nguồn lực quan trọng để xử lý rủi ro Kelp DAO
Tuy nhiên, dự án đang gặp phải vấn đề kỹ thuật khi các pool WETH bị dùng hết thanh khoản, người đi thanh lý sẽ không nhận được ETH thật mà chỉ nhận aWETH (token đại diện), khiến quá trình xử lý nợ xấu bị chậm lại.
Hiện tại, hướng xử lý cuối cùng vẫn phụ thuộc phần lớn vào cách Kelp DAO phân bổ thiệt hại, cũng như các thỏa thuận đạt được giữa các bên liên quan như LayerZero và Aave.
Ethena liên đới khi Aave gặp thiệt hại
Dù trên X, giao thức DeFi Ethena khẳng định dự án không bị ảnh hưởng sự cố rsETH trên Aave v3.
Ethena has no exposure to the rsETH exploit on the Aave v3 instance on mainnet
— Ethena (@ethena) April 18, 2026
Tuy nhiên, trưởng phòng chiến lược của dự án Spark lại phát hiện ra rằng Ethena là một trong những bên chịu ảnh hưởng rõ rệt nhất.
aave was a fairly central part of the defi ecosystem, so there are various secondary impacts to other protocols from the current crisis
— monetsupply.eth (@MonetSupply) April 20, 2026
one of the largest is probably Ethena USDe, via the Aavethena partnership
in practice how this has worked is:
1) Aave lists Ethena USDe and… pic.twitter.com/Nw0HP5Kwsv
Cách mô hình hợp tác giữa Aave và Ethena vận hành khá đơn giản, Aave cho phép sử dụng các tài sản của Ethena như USDe và sUSDe làm tài sản thế chấp trên nhiều thị trường. Ngược lại, Ethena gửi lượng dự trữ stablecoin như USDC hoặc USDT vào Aave để tăng thanh khoản.
Người dùng sau đó tận dụng cơ chế này để vay thêm tiền, tiếp tục đầu tư nhằm kiếm lợi nhuận cao hơn giống như việc dùng đòn bẩy để nhân lợi suất.
Sau sự cố, Ethena đã rút phần lớn tài sản khỏi Aave, tuy nhiên vẫn còn một lượng đáng kể bị kẹt lại, bao gồm khoảng 268 triệu USD trên Mantle và 140 triệu USD trong Aave Core. Trong khi đó, các pool stablecoin trên Aave đều đang bị sử dụng hết thanh khoản, khiến những người sử dụng chiến lược đòn bẩy này rơi vào trạng thái thua lỗ nặng, có thể lên tới -50% mỗi năm.
Hệ quả là toàn bộ vòng lặp trên nhiều khả năng sẽ bị gỡ bỏ trong thời gian tới, kéo theo nguồn cung USDe có thể giảm mạnh, ước tính khoảng 1,4 tỷ USD, tương đương 25% tổng cung.
Nhìn rộng hơn, sự việc cũng cho thấy một vấn đề lớn: nhiều dự án đã ưu tiên tăng trưởng và hợp tác hơn là quản lý rủi ro. Và khi có sự cố, chính người dùng là bên phải gánh chịu hậu quả.
Thị trường DeFi bốc hơi hơn 600 triệu USD, TVL chạm đáy một năm
Làn sóng các vụ tấn công dồn dập vào các giao thức trong thời gian ngắn đang đẩy DeFi vào một trong những giai đoạn khó khăn nhất kể từ năm 2024.
Chỉ trong khoảng ba tuần, tổng thiệt hại toàn ngành đã vượt mốc 600 triệu USD, đến từ các vụ hack lớn như Kelp DAO, Drift Protocol (285 triệu USD) cùng nhiều sự cố nhỏ hơn như Resolv, Hyperbridge hay Rhea Finance.
Dữ liệu thị trường cũng phản ánh rõ áp lực này. TVL toàn ngành DeFi đã giảm xuống còn khoảng 82–86 tỷ USD, mức thấp nhất trong vòng một năm và thấp hơn khoảng 25% so với mốc 110 tỷ USD hồi đầu năm.
Thống kê TVL trong thị trường DeFi. Nguồn: DefiLlama (Ngày 21/04/2026)
Chỉ riêng trong vòng 24 giờ sau vụ hack Kelp DAO, thị trường đã ghi nhận mức sụt giảm 5,6% TVL, một trong những cú giảm mạnh nhất kể từ năm 2024.
Mảng lending chịu ảnh hưởng nặng nhất khi TVL giảm khoảng 13%, phản ánh quyết định rút vốn mạnh từ người dùng khỏi các nền tảng như Aave do lo ngại về tài sản thế chấp. Liquid staking giảm khoảng 3,4%, trong khi các sàn DEX và nền tảng phái sinh cũng giảm từ 2% đến 3%.
Thống kê TVL trong lĩnh vực lending. Nguồn: The Block (21/04/2026)
Biểu đồ Major Onchain Exploits từ GSR Research cho thấy bức tranh rộng hơn: tổng thiệt hại tích lũy từ các vụ hack trong DeFi đã tăng đều qua các năm và hiện tiến sát mốc 13 tỷ USD.
Chuỗi sự kiện gây chấn động vừa qua cho thấy DeFi đang đối mặt với một vấn đề lớn hơn cả hack đó là rủi ro hệ thống đến từ sự phụ thuộc lẫn nhau giữa các giao thức.
Trong bối cảnh các bên liên quan vẫn chưa thống nhất được cách xử lý hậu quả, niềm tin của người dùng đang bị đặt dấu hỏi lớn. Cách mà Kelp DAO, LayerZero và Aave giải quyết tranh chấp lần này có thể trở thành tiền lệ quan trọng cho cách DeFi ứng phó với khủng hoảng trong tương lai.
Coin68 tổng hợp
