#KelpDAOBridgeHacked

‍#Gate13thAnniversaryLive
Cầu nối được hỗ trợ bởi ZRO của KelpDAO đã bị tấn công vào ngày 18 tháng 4 năm 2026, dẫn đến việc trộm khoảng 292–294 triệu đô la giá trị coin trên hơn 20 chuỗi; đây trở thành cuộc tấn công DeFi lớn nhất trong năm 2026. Cuộc tấn công, sử dụng một validator ZRO bị xâm phạm, đã gây ra việc đóng băng ngay lập tức trên Aave, Arbitrum và các giao thức khác.

Thông tin cơ bản

Ngày tấn công: 18 tháng 4 năm 2026, khoảng 17:35 UTC

Số tiền bị trộm: khoảng 116.500 coin (~$292–294 triệu), khoảng 18% tổng cung lưu hành

Phương thức tấn công: Tin nhắn giả mạo ZRO qua chuỗi chéo bị xâm phạm của Mạng Validator Phi tập trung 1-đến-1 (DVN) thiết lập

Các giao thức bị ảnh hưởng: Aave, SparkLend, Fluid, Arbitrum, Lido, Ethena, Compound, Euler

Hậu quả ngay lập tức:

Aave đã đóng băng V3 và V4 và đối mặt với rủi ro nợ xấu khoảng ~$177–196 triệu.

Arbitrum đã đóng băng 30.766 ETH (~$100 triệu) liên kết với ví của hacker.

ZRO giảm hơn 22% trong 24 giờ.

Giá token AAVE giảm khoảng 20% xuống còn 92,06 đô la.

Tác động thị trường

Ethereum (ETH): Giá giảm xuống còn 2.300 đô la ngay sau cuộc tấn công và đã được định giá đầy đủ qua các thị trường dự đoán.

Bitcoin (BTC): Sự thận trọng về rủi ro đã làm tăng khả năng các hợp đồng dự đoán cho BTC đạt 60.000 đô la vào cuối tháng 4 lên 22%.

Thanh khoản DeFi: Khoảng $9 tỷ$100 đô la đã bị rút khỏi Aave trong một cơn hoảng loạn; điều này cho thấy một nỗi sợ hệ thống liên quan đến an ninh thế chấp cầu nối.

Trách nhiệm và Định danh

Kẻ tấn công nghi ngờ: Nhóm Lazarus của Triều Tiên, đã sử dụng các kỹ thuật giả mạo tinh vi.

Quan điểm của KelpDAO: Đổ lỗi cho hạ tầng của ZRO, đặc biệt là các nút RPC bị xâm phạm và thiết lập DVN 1-đến-1 không an toàn. Kelp khẳng định rằng các hợp đồng của họ không bị khai thác trực tiếp.

Phản hồi của ZRO: Thừa nhận các lỗi trong thiết lập validator, đang tích cực làm việc với KelpDAO để khắc phục.

Biện pháp và Các bước tiếp theo

Đóng băng khẩn cấp: KelpDAO đã ngăn chặn việc chuyển coin bị trộm giữa Ethereum và các Layer 2 trong vòng 46 phút.
Ví bị chặn: KelpDAO đã đưa các địa chỉ lạm dụng vào danh sách đen và triển khai SEAL 911, một đường dây nóng về các mối đe dọa an ninh.

Hành động quản trị: DAO của Arbitrum sẽ bỏ phiếu về số ETH trị giá (triệu) bị đóng băng.

Các sửa chữa trong tương lai: Đang kêu gọi thiết lập nhiều validator DVN để tránh điểm thất bại đơn lẻ trong truyền tin chuỗi chéo.

Rủi ro và Bài học

Các lỗ hổng cầu nối vẫn là rủi ro hệ thống lớn nhất trong DeFi.

Thiết lập validator đơn lẻ không chấp nhận được cho các giao thức có giá trị cao; cần có sự dự phòng.

Phân bổ thế chấp: Sử dụng tài sản bị xâm phạm làm thế chấp $ZRO ví dụ, trên Aave$AAVE có thể gây ra thiệt hại lan rộng qua nhiều nền tảng.

Niềm tin cộng đồng: KelpDAO, với tổng giá trị bị khóa trước cuộc tấn công là 1,57 tỷ đô la, đã bị tổn thương về uy tín, và việc phục hồi sẽ phụ thuộc vào các biện pháp sửa chữa được thực hiện minh bạch.
‍$ARB