Rewards Hub 
Tổng giá trị bị khóa (TVL) của DeFi đã giảm mạnh từ khoảng 99 tỷ đô la xuống còn 85 tỷ đô la trong hai ngày, từ 18 đến 20 tháng 4. Đây là mức giảm mạnh nhất trong hơn một năm trở lại đây. Nguyên nhân xuất phát từ lỗ hổng trị giá 292 triệu đô la tại Kelp DAO, giao thức liquid restaking mà token rsETH của họ đã được dùng làm tài sản thế chấp trên ít nhất chín thị trường cho vay khác nhau. Khi hợp đồng cầu nối của Kelp bị khai thác, rsETH mất neo, khiến tài sản thế chấp cho hàng tỷ đô la khoản vay DeFi bốc hơi chỉ trong vài giờ. Riêng Aave đã chứng kiến 6,6 tỷ đô la bị rút ra khi người dùng tìm cách bảo vệ vốn trước nguy cơ lan rộng.
Con số đáng chú ý với mọi người dùng DeFi không phải là 292 triệu đô la mà là 15 tháng – khoảng thời gian từ khi CryptoTimes báo cáo đội ngũ kỹ sư LayerZero cảnh báo kiến trúc cầu nối một trình xác thực của Kelp DAO có rủi ro nghiêm trọng. Kelp đã thừa nhận cảnh báo, nhưng không thực hiện biện pháp khắc phục.
Cách thức vụ khai thác Kelp diễn ra
Kẻ tấn công nhắm vào cầu nối chuỗi chéo của Kelp DAO, vốn chỉ dùng một trình xác thực để xác nhận giao dịch giữa Ethereum mainnet và lớp restaking của giao thức. Đội an ninh của LayerZero đã cảnh báo từ tháng 1/2025 rằng kiến trúc này tạo ra điểm lỗi duy nhất – nếu khóa trình xác thực bị xâm phạm, toàn bộ cầu nối sẽ bị kiểm soát.
Ngày 18/4, kẻ tấn công đã lợi dụng đúng điểm yếu này. Họ truy cập được khóa trình xác thực thông qua đòn tấn công kỹ nghệ xã hội nhắm vào thành viên đội Kelp, rồi mint ra rsETH không có tài sản bảo chứng trên Ethereum mainnet. Các token này lập tức được gửi vào các giao thức cho vay làm tài sản thế chấp để vay ETH và stablecoin, sau đó chuyển qua nhiều chuỗi trước khi hệ thống giám sát của Kelp phát hiện bất thường.
Tổng số tiền bị rút là 292 triệu đô la, nhưng thiệt hại lan rộng hơn rất nhiều bởi rsETH đóng vai trò hạ tầng cốt lõi cho cả chuỗi cho vay DeFi, không chỉ đơn giản là một token.
Vì sao 292 triệu đô la gây ra 14 tỷ đô la thiệt hại?
Tác động thật sự không nằm ở số tiền bị lấy mà ở vị trí của rsETH trong hệ sinh thái DeFi.
Các token liquid restaking như rsETH được thiết kế để có thể kết hợp linh hoạt. Người dùng stake ETH đổi lấy rsETH, rồi dùng rsETH làm tài sản thế chấp để vay tài sản khác. Lợi suất cộng dồn, hiệu quả sử dụng vốn tăng, nhưng rủi ro hệ thống cũng tăng theo từng lớp đòn bẩy bổ sung.
Khi rsETH mất neo, chín giao thức đã đồng loạt đóng băng thị trường rsETH. Người đi vay dùng rsETH làm tài sản thế chấp bị thanh lý ngay hoặc không thể thoát vị thế do thị trường đóng băng. Lo ngại là có cơ sở, bởi nếu rsETH có thể mất neo do mint không bảo chứng, mọi khoản vay dựa trên rsETH đều không còn đảm bảo an toàn.
Aave chịu ảnh hưởng lớn nhất. Người dùng đã rút 6,6 tỷ đô la trong 36 giờ, không phải vì Aave bị khai thác mà vì họ không còn tin vào giá trị tài sản thế chấp rsETH mà đối tác sử dụng. Lý thuyết "bank run" điển hình – khi không thể xác thực chất lượng tài sản đảm bảo, nhà đầu tư sẽ rút vốn trước khi kiểm tra kỹ.
| Giao thức | Biện pháp thực hiện | Ước tính rút ra |
|---|---|---|
| Aave | Đóng băng thị trường rsETH, tạm dừng nạp mới | 6,6 tỷ USD |
| Compound | Bỏ phiếu khẩn cấp loại bỏ rsETH | 1,2 tỷ USD |
| Morpho | Điều chỉnh tự động thông số rủi ro | 890 triệu USD |
| Euler | Đóng băng các vault rsETH | 740 triệu USD |
| Spark (MakerDAO) | Tạm dừng dùng rsETH làm tài sản thế chấp | 620 triệu USD |
Các giao thức còn lại cũng đã phản ứng trong vài giờ. Đến ngày 20/4, TVL của DeFi giảm còn khoảng 85 tỷ đô la, thấp hơn 50% so với đỉnh tháng 10/2025 và là mức thấp nhất trong 12 tháng.
Cảnh báo 15 tháng bị Kelp phớt lờ
Đây là khía cạnh biến một vụ hack thành thất bại quản trị.
Tháng 1/2025, đội LayerZero đánh giá nội bộ về bảo mật cầu nối liquid restaking, trong đó có Kelp. CryptoTimes tiết lộ LayerZero đã chỉ rõ kiến trúc cầu nối một trình xác thực là "rất không đủ để bảo vệ tài sản trên 50 triệu USD". Lúc đó cầu nối của Kelp đang giữ khoảng 180 triệu đô la.
LayerZero đề xuất bộ xác thực đa chữ ký (multi-signature) tối thiểu 5 thành viên độc lập và ngưỡng xác nhận 3/5 cho giao dịch chuỗi chéo. Họ cũng cung cấp hướng dẫn kỹ thuật và cam kết hỗ trợ thực hiện. Đội kỹ thuật Kelp xác nhận đã nhận báo cáo vào tháng 2/2025.
15 tháng trôi qua, cầu nối vẫn chỉ có một trình xác thực, không thêm multi-sig hay lớp bảo mật thay thế nào khác. TVL tăng từ 180 triệu lên hơn 400 triệu đô la, vẫn dựa trên kiến trúc từng bị đánh giá không đủ an toàn.
Phản ứng cộng đồng DeFi là điều dễ hiểu. Các đề xuất như công khai kiểm toán an ninh bắt buộc, yêu cầu bảo hiểm cầu nối và ngưỡng xác thực tối thiểu đang thống trị các diễn đàn quản trị. Nhưng thực tế, đây cũng là những đề xuất từng được đưa ra sau sự cố Wormhole 2022 và Multichain năm 2023. Ngành DeFi vẫn lặp lại các tranh luận này sau mỗi vụ cầu nối bị khai thác.
TVL giảm cho thấy điều gì về rủi ro DeFi hiện tại
Con số 85 tỷ đô la TVL quan trọng không chỉ vì nó gây chú ý.
Đỉnh TVL của DeFi là gần 170 tỷ đô la vào tháng 10/2025 trong giai đoạn bùng nổ restaking và liquid staking. Việc giảm còn 99 tỷ đô trước khi sự cố Kelp diễn ra đã là mức sụt giảm 42%, do thị trường chung yếu và các hoạt động yield farming giảm. Sự cố Kelp khiến TVL giảm thêm 14% chỉ trong hai ngày, đưa TVL về mức thấp nhất kể từ sau bear market 2024.
Cơ cấu dòng vốn rút ra cũng đáng quan tâm. Theo dữ liệu của DeFiLlama, phần lớn dòng tiền rút khỏi các giao thức cho vay (Aave, Compound, Euler), không phải từ DEX hay các nền tảng tổng hợp lợi suất. Điều này cho thấy đây là khủng hoảng niềm tin vào tài sản thế chấp chứ không phải vấn đề thanh khoản thị trường. Người dùng vẫn sẵn sàng giao dịch token trên Uniswap, Curve nhưng không muốn gửi token vào các pool mà chất lượng tài sản đảm bảo chưa rõ ràng.
Để so sánh, TVL từng giảm khoảng 30 tỷ đô la sau sự cố Terra/Luna tháng 5/2022. Mức giảm 14 tỷ đô lần này nhỏ hơn về số tuyệt đối, nhưng xét tỷ lệ thì tương đương. Và cơ chế cũng giống: một token mất neo, kéo theo hàng loạt giao thức tích hợp token đó làm tài sản thế chấp gặp sự cố dây chuyền.
Hành động của các giao thức DeFi hiện nay
Phản ứng của các giao thức lớn đã vượt qua biện pháp khẩn cấp, chuyển sang thay đổi cấu trúc.
Diễn đàn Aave hiện có ba đề xuất hoạt động: Giới hạn mỗi loại liquid staking derivative tối đa 15% tổng tài sản thế chấp; yêu cầu mọi token thế chấp phải có bảo hiểm cầu nối vượt ngưỡng tối thiểu; bắt buộc kiểm toán cầu nối bên ngoài mỗi quý với chế tài loại bỏ nếu không đáp ứng.
Spark của MakerDAO đi xa hơn, tuyên bố chỉ chấp nhận token liquid restaking làm tài sản thế chấp chính nếu cầu nối sử dụng bộ xác thực multi-sig tối thiểu 5/9. Tiêu chuẩn này hiện loại trừ phần lớn token liquid restaking trên thị trường.
Compound đã thông qua bỏ phiếu khẩn cấp chỉ trong 18 giờ, nhanh nhất lịch sử giao thức. Kết quả: rsETH bị loại vĩnh viễn và mọi loại tài sản thế chấp mới đều phải qua giai đoạn đánh giá bảo mật 72 giờ (trước đây là 48 giờ).
Đây là những thay đổi có ý nghĩa, nhưng vẫn mang tính phản ứng. Mô hình của DeFi là: lỗ hổng lộ diện, giao thức xử lý điểm yếu cụ thể, sau đó lại xuất hiện lỗ hổng mới ở chỗ khác chưa từng bị tấn công.
Câu hỏi thường gặp
Nguyên nhân khiến TVL DeFi giảm 14 tỷ đô trong hai ngày là gì?
Lỗ hổng cầu nối của Kelp DAO trị giá 292 triệu đô khiến rsETH mất neo. Do rsETH được dùng làm tài sản thế chấp ở chín giao thức cho vay lớn, sự cố này khiến nhà đầu tư lo ngại về chất lượng tài sản thế chấp và rút tiền hàng loạt – riêng Aave bị rút 6,6 tỷ đô trong 36 giờ.
Vụ khai thác Kelp có thể phòng tránh được không?
Theo các bằng chứng, hoàn toàn có thể phòng tránh. LayerZero đã cảnh báo kiến trúc cầu nối một trình xác thực từ 15 tháng trước, đề xuất sử dụng multi-signature. Kelp đã nhận cảnh báo nhưng không sửa, dù TVL tăng từ 180 triệu lên hơn 400 triệu đô.
TVL DeFi có khả năng phục hồi nhanh không?
Tốc độ phục hồi phụ thuộc vào việc các giao thức cho vay triển khai tiêu chuẩn tài sản thế chấp mới để lấy lại niềm tin, cũng như diễn biến thị trường chung. TVL hiện thấp hơn đỉnh tháng 10/2025 khoảng 50%, và khủng hoảng niềm tin khiến quá trình phục hồi có thể kéo dài nhiều tháng như các sự kiện lịch sử lớn trước đây.
Tôi có nên rút tiền khỏi các giao thức cho vay DeFi không?
Rủi ro hiện tập trung ở các giao thức còn giữ liquid restaking token làm tài sản thế chấp mà chưa cập nhật tiêu chuẩn bảo mật. Những giao thức đã đóng băng, loại bỏ rsETH và tăng tiêu chuẩn (Aave, Compound, Spark) đã xử lý điểm yếu trước mắt. Kiểm tra loại tài sản thế chấp mà khoản gửi của bạn đang gắn với trước khi quyết định.
Kết luận
DeFi vừa trải qua khủng hoảng tài sản thế chấp lớn nhất kể từ Terra/Luna. Điều đáng nói không đơn thuần là số tiền bị khai thác mà là rủi ro này đã được cảnh báo, báo cáo đội ngũ, nhưng bị phớt lờ suốt 15 tháng khi giao thức phát triển gấp ba lần. TVL ở mức 85 tỷ đô la là thấp nhất trong 12 tháng, và quá trình lấy lại niềm tin sẽ lâu hơn việc khắc phục kỹ thuật.
Việc các giao thức áp dụng giới hạn tài sản thế chấp, kiểm toán cầu nối bắt buộc và multi-sig là những bước đi đúng hướng, nhưng vẫn chỉ là giải pháp cho sự cố vừa xảy ra. Rủi ro cấu trúc vẫn hiện hữu. Tính liên kết của DeFi vừa là lợi thế vừa là nguồn rủi ro lớn, và cho đến khi ngành xây dựng được chuẩn bảo mật tương xứng với mức độ liên kết tài sản, mọi token liquid staking đều có thể trở thành một rsETH tiếp theo.
Hãy theo dõi các cuộc bỏ phiếu quản trị của Aave trong hai tuần tới. Nếu giới hạn 15% tài sản thế chấp được thông qua, đó sẽ là chuẩn mực mới của ngành và là biện pháp phòng ngừa cấu trúc đầu tiên cho nhóm rủi ro này.
Bài viết chỉ nhằm mục đích thông tin, không cấu thành tư vấn tài chính hay đầu tư. Giao dịch tiền điện tử có nhiều rủi ro. Hãy tự nghiên cứu trước khi quyết định.
