Đợt cứu trợ phối hợp lớn nhất trong lịch sử DeFi đang diễn ra. Ngày 23/4, các nhà cung cấp dịch vụ Aave đã ra mắt "DeFi United" – một quỹ cứu trợ liên giao thức nhằm huy động 100.000 ETH để phục hồi cho rsETH sau sự cố khai thác cầu nối Kelp DAO ngày 18/4 trị giá 292 triệu USD. Đến ngày 24/4, quỹ đã huy động được khoảng 69.534 ETH (tương đương 161 triệu USD), với danh sách đóng góp gồm nhiều tên tuổi lớn trong hạ tầng Ethereum.
Đây không phải là cuộc bỏ phiếu DAO để hoàn tiền cho từng cá nhân. Đây là nỗ lực phối hợp giữa các bên trong ngành nhằm ngăn chặn một sự cố duy nhất gây ra khủng hoảng nợ xấu lan rộng trên giao thức cho vay lớn nhất DeFi, nơi đang lưu trữ hàng tỷ USD tiền gửi của người dùng.
Sự cố Kelp DAO và lý do Aave bị ảnh hưởng
Ngày 18/4 lúc 17:35 UTC, kẻ tấn công đã khai thác cầu nối LayerZero của Kelp DAO để rút 116.500 rsETH khỏi hợp đồng ký quỹ trên Ethereum mainnet, trị giá xấp xỉ 292 triệu USD vào thời điểm đó. Cuộc tấn công nhắm vào việc cấu hình cầu nối chỉ sử dụng một node xác thực LayerZero. Kẻ tấn công đã chiếm quyền hai node RPC cung cấp dữ liệu cho node này, sử dụng DDoS để chuyển đổi và đánh lừa hệ thống xác nhận giao dịch đốt token hợp lệ trên Unichain dù thực tế không có.
Node xác thực bị kiểm soát đã xác nhận thông điệp giả mạo, hợp đồng phía Ethereum giải phóng 116.500 rsETH vào ví kẻ tấn công. Sau 46 phút, tính năng dừng khẩn cấp của Kelp đã đóng băng hợp đồng, ngăn chặn thêm hai nỗ lực tiếp theo trị giá 100 triệu USD, nhưng số tiền ban đầu đã bị lấy đi.
Vấn đề trở thành rủi ro của Aave khi kẻ tấn công gửi ngay 89.567 rsETH vào Aave làm tài sản thế chấp, sau đó vay khoảng 190 triệu USD WETH và wstETH trên Ethereum và Arbitrum. Tài sản vay hợp pháp nhưng tài sản thế chấp là rsETH không còn giá trị. Nếu bị thanh lý, Aave chịu khoản nợ xấu tương ứng. Ước tính thiệt hại dao động từ 123 triệu đến 230 triệu USD tùy theo cách Kelp phân bổ thiếu hụt trên các chuỗi.
Ai đóng góp cho DeFi United và số lượng cụ thể
Danh sách đóng góp là điểm khác biệt so với các sự cố DeFi trước đây. Nếu trước đây nạn nhân thường tự gánh chịu, lần này, nhiều giao thức đã tập hợp nguồn lực để chia sẻ hậu quả của một sự cố xảy ra ở nơi khác.
| Đơn vị đóng góp | Số lượng | Hình thức |
|---|---|---|
| Aave DAO (đề xuất quản trị) | 25.000 ETH (~58 triệu $) | Đóng góp trực tiếp từ ngân quỹ DAO |
| Stani Kulechov (cá nhân) | 5.000 ETH (~11,6 triệu $) | Cam kết cá nhân của nhà sáng lập Aave |
| Mantle Network | 30.000 ETH (~69,6 triệu $) | Khoản vay 3 năm, lãi suất Lido +1%, cần ủy quyền 130K AAVE |
| Lido DAO | 2.500 stETH (~5,8 triệu $) | Cam kết trực tiếp |
| EtherFi | Không công bố | Xác nhận tham gia |
| Ethena | Không công bố | Xác nhận tham gia |
| Ink Foundation | Không công bố | Xác nhận tham gia |
| BGD Labs | Không công bố | Xác nhận tham gia |
| Frax Finance | Đang chờ bỏ phiếu quản trị | Đã bày tỏ ủng hộ |
| Các cá nhân | Đa dạng | Nhiều cam kết nhỏ lẻ |
| Tổng cộng (24/4) | ~69.534 ETH | Đã huy động ~161 triệu $/mục tiêu 100.000 ETH |
Aave DAO với đề xuất 25.000 ETH là cam kết lớn nhất, nếu được thông qua sẽ biến Aave thành nhà đóng góp chủ chốt. Mantle với khoản vay 30.000 ETH mang tính sáng tạo: không phải tài trợ mà là cho vay, với điều kiện Aave ủy quyền 130.000 AAVE cho Mantle.
Khoản đóng góp cá nhân 5.000 ETH của Kulechov thể hiện sự cam kết mạnh mẽ. Khi người sáng lập giao thức bỏ hàng triệu USD vốn cá nhân để hỗ trợ, đó là tín hiệu cho thấy sự tin tưởng vào giá trị của giao thức và tính toán tài chính.
Vì sao Arbitrum đóng băng riêng 71 triệu USD
Trong lúc DeFi United tổ chức cứu trợ, Hội đồng An ninh Arbitrum chọn phương án khác: đóng băng 30.766 ETH (~71 triệu USD) liên quan đến sự cố, chuyển vào ví do quản trị điều khiển. Đây là gần 1/4 số tiền bị rút.
Nguyên nhân là kẻ tấn công đã vay tài sản trên Arbitrum bằng rsETH bị đánh cắp làm thế chấp. Hội đồng An ninh gồm 12 thành viên có quyền can thiệp khẩn cấp đã bỏ phiếu đóng băng trước khi số tiền bị chuyển khỏi chuỗi. Tuy nhiên, kẻ tấn công vẫn kịp di chuyển một phần tài sản sang các chuỗi khác, lý do quỹ DeFi United vẫn cần lấp khoảng trống còn lại.
Cách tiếp cận này tạo ra hai hướng phục hồi: Arbitrum dùng quyền khẩn cấp để đóng băng, còn DeFi United sử dụng phối hợp phi tập trung để khắc phục phần còn lại. Đây là lần đầu hai mô hình cùng vận hành song song.
Nhóm Lazarus và tác động với bảo mật cầu nối
LayerZero cho rằng cuộc tấn công liên quan tới Lazarus Group của Triều Tiên, cụ thể là nhóm TraderTraitor. Kết luận dựa trên giao dịch Tornado Cash trước sự cố 10 tiếng, mã độc tự hủy trên hạ tầng bị tấn công và mô hình hợp nhất tài sản sau vụ khai thác tương tự các sự cố đã xác nhận trước đó.
Nếu nhận định này đúng, Lazarus Group đã rút hơn 575 triệu USD từ DeFi chỉ trong 18 ngày của tháng 4/2026, bao gồm cả vụ Drift Protocol ngày 1/4 và sự cố Kelp ngày 18/4.
Tranh cãi giữa Kelp và LayerZero cũng cho thấy: LayerZero cho biết đã cảnh báo rủi ro khi cấu hình xác thực duy nhất, trong khi Kelp lại cho rằng thiết lập mặc định của LayerZero dẫn đến lỗ hổng. Sự thật có thể ở giữa, nhưng với nhà giao dịch, thông điệp thực tiễn là: bất kỳ cầu nối nào chỉ dựa vào một điểm xác thực đều có rủi ro, và thị trường chưa định giá hết nguy cơ này. Cấu hình đa xác thực sẽ giúp giảm đáng kể khả năng bị tấn công tương tự.
Điều gì xảy ra nếu DeFi United đạt 100.000 ETH
Mục tiêu 100.000 ETH không phải ngẫu nhiên – đây là số tiền khôi phục hoàn toàn tỷ lệ bảo chứng cho rsETH, đảm bảo mỗi rsETH đều có thể quy đổi 1:1 sang ETH cơ sở. Nếu thiếu, rsETH sẽ luôn bị chiết khấu, Aave gánh nợ xấu, các giao thức khác từng nhận rsETH thế chấp sẽ phải ghi nhận tổn thất.
Nếu quỹ hoàn thành mục tiêu, tỷ lệ bảo chứng rsETH được khôi phục, nợ xấu của Aave được xử lý qua quỹ cứu trợ thay vì phải thanh lý tài sản DAO, giúp hệ sinh thái DeFi tránh một cuộc khủng hoảng niềm tin. Tổng giá trị khóa của Aave đã giảm 6 tỷ USD sau sự cố vì người dùng rút tiền đề phòng rủi ro. Việc khôi phục niềm tin quan trọng không kém việc bù đắp ETH thiếu hụt.
Thị trường DeFi nói chung cũng bị ảnh hưởng ngay lập tức. Tổng TVL DeFi giảm hơn 13 tỷ USD chỉ trong hai ngày sau sự cố, chủ yếu do dòng tiền rút khỏi các giao thức không liên quan trực tiếp tới rsETH – cho thấy sự lan tỏa của tâm lý sợ hãi. DeFi United nhằm ngăn chặn tâm lý này lây lan rộng hơn.
Với người dùng DeFi không nắm giữ rsETH, tác động vẫn đáng chú ý. Aave là nền tảng cho vay lớn nhất, tình hình sức khỏe của Aave ảnh hưởng đến lãi suất vay, khả năng thế chấp và thanh khoản trên toàn hệ sinh thái. Nếu bảng cân đối của Aave chịu tổn thất vĩnh viễn, chi phí vay tăng, lợi suất gửi giảm vì doanh thu bị cắt để bù đắp thiếu hụt.
Nếu quỹ không đạt mục tiêu, phần còn lại trở thành vấn đề của Aave. Ngân quỹ và mô-đun an toàn của giao thức sẽ phải xử lý, có thể buộc bán token AAVE dẫn đến áp lực giảm giá token quản trị.
Câu hỏi thường gặp
DeFi United là gì?
DeFi United là quỹ cứu trợ liên giao thức do các nhà cung cấp dịch vụ Aave khởi xướng nhằm huy động 100.000 ETH để phục hồi cho rsETH sau sự cố Kelp DAO trị giá 292 triệu USD. Các bên tham gia gồm Aave DAO, Lido, Mantle, EtherFi, Ethena và nhiều đơn vị khác. Đến 24/4, quỹ đã huy động ~69.534 ETH.
Sự cố Kelp DAO xảy ra như thế nào?
Kẻ tấn công chiếm quyền các node RPC cung cấp dữ liệu cho node xác thực đơn của Kelp, đánh lừa hệ thống xác nhận giao dịch giả mạo, rút 116.500 rsETH (292 triệu USD) khỏi ký quỹ trên Ethereum mainnet. Số token này được gửi vào Aave làm tài sản thế chấp để vay 190 triệu USD tài sản hợp pháp.
Tại sao Aave lại liên quan khi sự cố xảy ra ở Kelp?
Kẻ tấn công sử dụng 89.567 rsETH không bảo chứng làm thế chấp trên Aave để vay khoảng 190 triệu USD WETH và wstETH. Nếu những vị thế này bị thanh lý, Aave phải gánh khoản nợ xấu vì tài sản thế chấp không có giá trị thực. Thiệt hại tiềm năng từ 123 triệu đến 230 triệu USD tùy theo cách phân bổ thiếu hụt.
Đây có phải là đợt cứu trợ lớn nhất lịch sử DeFi?
Theo mọi tiêu chí, đây là đợt cứu trợ phối hợp lớn nhất ngành DeFi từng ghi nhận. Trước đây, các giao thức bị khai thác phải tự chịu lỗ hoặc kêu gọi cộng đồng. DeFi United là lần đầu nhiều giao thức lớn cùng góp vốn hàng chục nghìn ETH xử lý hậu quả sự cố xảy ra ở nơi khác.
Tổng kết
DeFi United đã huy động khoảng 70% mục tiêu 100.000 ETH chỉ trong chưa đầy một tuần, với Aave, Mantle, Lido, Kulechov và nhiều bên khác cam kết vốn để phục hồi cho rsETH. 48-72 giờ tới là thời điểm quyết định. Nếu đề xuất quản trị của Aave được thông qua và hoàn thành mục tiêu, DeFi sẽ tránh được khủng hoảng nợ xấu hệ thống và minh chứng rằng phối hợp phi tập trung ở quy mô lớn hoàn toàn khả thi. Nếu không đạt, mô-đun an toàn của Aave sẽ chịu thiệt hại, chủ sở hữu AAVE có nguy cơ pha loãng, mọi nền tảng cho vay trong hệ sinh thái phải đánh giá lại rủi ro tài sản thế chấp. Một điểm đáng lưu ý là cáo buộc Lazarus Group – một chủ thể được nhà nước hậu thuẫn – chỉ trong 18 ngày đã rút 575 triệu USD khỏi DeFi, điều này chắc chắn sẽ thúc đẩy các nhà quản lý tăng cường tiêu chuẩn bảo mật cầu nối. Với tất cả ai đang sử dụng các nền tảng cho vay DeFi, kết quả của DeFi United là tín hiệu quan trọng trong tuần này.
Bài viết này chỉ nhằm cung cấp thông tin và không cấu thành lời khuyên tài chính hoặc đầu tư. Giao dịch tiền điện tử có nhiều rủi ro, hãy nghiên cứu kỹ trước khi quyết định.





