Mua Crypto
Thanh toán bằng
USD
USD
Mua & Bán
Hot
Hỗ trợ Visa, Mastercard, SEPA...
P2P tiền (P2P)
0 Fees
Giao dịch linh hoạt, không phí
Thẻ Gate
Thanh toán tiền điện tử trên khắp thế giới
Thị trường
Giao dịch
Cơ bản
Nâng cao
Futures
Futures
Truy cập hàng trăm hợp đồng vĩnh cửu
TradFi
Vàng
Một nền tảng cho tài sản truyền thống
Quyền chọn
Hot
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Giao dịch demo
Giới thiệu về Giao dịch hợp đồng tương lai
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Tham gia sự kiện để nhận phần thưởng
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
Kiếm tiền
Launch
CandyDrop
Sưu tập kẹo để kiếm airdrop
Launchpool
Thế chấp nhanh, kiếm token mới tiềm năng
HODLer Airdrop
Nắm giữ GT và nhận được airdrop lớn miễn phí
Pre-IPOs
Mở khóa quyền truy cập đầy đủ vào các IPO cổ phiếu toàn cầu
Điểm Alpha
Giao dịch trên chuỗi và nhận airdrop
Điểm Futures
Kiếm điểm futures và nhận phần thưởng airdrop
Đầu tư
Square
Trung tâm
Khám phá giá trị của tiền điện tử
Live
moments live
Livestream phân tích thịtrường mỗi ngày
Chat
Giao Lưu Với Các Nhà Giao Dịch Khác
Tin nhanh
Tin tức tiền điện tử mớinhất
flower_head
Thêm
Khuyến mãi
AI
Khác
TradFi
WCTC S8
Phần thưởng
MFA

Tính giá MFA Financial Inc

Đã đóng
MFA
₫234.428,67
-₫922,04(-0,39%)

*Dữ liệu cập nhật lần cuối: 2026-04-24 06:54 (UTC+8)

Tính đến 2026-04-24 06:54, MFA Financial Inc (MFA) đang giao dịch ở ₫234.428,67, với tổng vốn hóa thị trường là ₫24,05T, tỷ lệ P/E là 5,46 và tỷ suất cổ tức là 14,10%. Giá cổ phiếu hôm nay biến động trong khoảng ₫233.506,63 và ₫236.503,26. Giá hiện tại cao hơn 0,39% so với mức thấp nhất trong ngày và thấp hơn 0,87% so với mức cao nhất trong ngày, với khối lượng giao dịch là 1,16M. Trong 52 tuần qua, MFA đã giao dịch trong khoảng từ ₫216.909,91 đến ₫236.503,26 và giá hiện tại cách mức cao nhất trong 52 tuần -0,87%.

Các chỉ số chính của MFA

Đóng cửa hôm qua₫232.123,57
Vốn hóa thị trường₫24,05T
Khối lượng1,16M
Tỷ lệ P/E5,46
Lợi suất cổ tức (TTM)14,10%
Số lượng cổ tức₫8.298,36
EPS pha loãng (TTM)1,70
Thu nhập ròng (FY)₫4,07T
Doanh thu (FY)₫20,17T
Ngày báo cáo thu nhập2026-05-05
Ước tính EPS0,31
Ước tính doanh thu₫1,58T
Số cổ phiếu đang lưu hành103,61M
Beta (1 năm)1.616
Ngày giao dịch không hưởng quyền2026-03-31
Ngày thanh toán cổ tức2026-04-30

Giới thiệu về MFA

MFA Financial, Inc., cùng với các công ty con của mình, hoạt động như một quỹ đầu tư bất động sản (REIT) tại Hoa Kỳ. Công ty đầu tư vào các tài sản thế chấp nhà ở, bao gồm chứng khoán đảm bảo bằng thế chấp không thuộc chính phủ (MBS) không thuộc chính phủ, MBS thuộc chính phủ, và chứng khoán chuyển giao rủi ro tín dụng; các khoản vay toàn bộ nhà ở, bao gồm các khoản vay đã mua có hiệu quả, các khoản vay đã mua có rủi ro tín dụng giảm sút và các khoản vay không hiệu quả; và các tài sản liên quan đến quyền dịch vụ thế chấp. Công ty đã chọn được đánh thuế như một REIT và sẽ không phải chịu thuế thu nhập liên bang nếu phân phối ít nhất 90% thu nhập chịu thuế của mình cho cổ đông. MFA Financial, Inc. được thành lập vào năm 1997 và có trụ sở chính tại New York, New York.
Lĩnh vựcBất động sản
Ngành nghềREIT - Thế chấp
CEOCraig L. Knutson
Trụ sở chínhNew York City,NY,US
Trang web chính thứchttps://www.mfafinancial.com
Nhân sự (FY)307,00
Doanh thu trung bình (1 năm)₫65,71B
Thu nhập ròng trên mỗi nhân viên₫13,27B

Tìm hiểu thêm về MFA Financial Inc (MFA)

Bài viết Gate Learn

Hiểu và Ngăn chặn gian lận Tiền điện tử

Hiểu những chiến thuật này là phòng thủ đầu tiên của bạn. Cho dù đó là kích hoạt xác thực đa yếu tố (MFA), xác minh URL hoặc xem xét cẩn thận cơ hội đầu tư, việc thực hiện các biện pháp tích cực có thể bảo vệ tài sản của bạn. Hướng dẫn này khám phá các chiến lược mà những kẻ lừa đảo sử dụng, những dấu hiệu đỏ để chú ý và các mẹo hữu ích để giữ cho khoản đầu tư kỹ thuật số của bạn an toàn trước gian lận.

2025-01-14

Vì sao cần lựa chọn SÀN GIAO DỊCH TIỀN ĐIỆN TỬ AN TOÀN / BẢO MẬT? Giải pháp bảo vệ tài sản kỹ thuật số của bạn

Khi lựa chọn sàn giao dịch tiền điện tử, việc bảo vệ tài sản luôn được ưu tiên hàng đầu. Gate được thành lập năm 2013, là một trong những sàn giao dịch tiền điện tử lâu đời nhất trên thế giới. Sàn phục vụ hơn 37 triệu người dùng, hỗ trợ hơn 3.500 loại tài sản kỹ thuật số và duy trì quỹ dự phòng vượt mức 10 tỷ USD.

2025-09-11

Cách mà tội phạm mạng sử dụng YouTube và GitHub để phát tán phần mềm độc hại tiền điện tử

Trong cảnh quan nguy hiểm ngày càng biến đổi của mối đe dọa mạng, hai nền tảng truyền thống được coi là nơi an toàn cho việc tạo nội dung, học tập và cộng tác mã nguồn mở đã trở thành mục tiêu phân phối phần mềm độc hại nhằm đánh cắp tiền điện tử và dữ liệu cá nhân — YouTube và GitHub. Vậy, tội phạm mạng đang sử dụng YouTube và GitHub như thế nào để lan truyền phần mềm độc hại và bạn có thể bảo vệ bản thân như thế nào?

2024-11-25

Câu hỏi thường gặp về MFA Financial Inc (MFA)

Giá cổ phiếu MFA Financial Inc (MFA) hôm nay là bao nhiêu?

x
MFA Financial Inc (MFA) hiện đang giao dịch ở mức ₫234.428,67, với biến động 24h qua là -0,39%. Phạm vi giao dịch 52 tuần là từ ₫216.909,91 đến ₫236.503,26.

Mức giá cao nhất và thấp nhất trong 52 tuần của MFA Financial Inc (MFA) là bao nhiêu?

x

Tỷ lệ giá trên thu nhập (P/E) của MFA Financial Inc (MFA) là bao nhiêu? Nó chỉ ra điều gì?

x

Vốn hóa thị trường của MFA Financial Inc (MFA) là bao nhiêu?

x

Lợi nhuận trên mỗi cổ phiếu (EPS) hàng quý gần đây nhất của MFA Financial Inc (MFA) là bao nhiêu?

x

Bạn nên mua hay bán MFA Financial Inc (MFA) vào thời điểm này?

x

Những yếu tố nào có thể ảnh hưởng đến giá cổ phiếu MFA Financial Inc (MFA)?

x

Làm thế nào để mua cổ phiếu MFA Financial Inc (MFA)?

x

Cảnh báo rủi ro

Thị trường chứng khoán tiềm ẩn rủi ro cao và biến động giá mạnh. Giá trị khoản đầu tư của bạn có thể tăng hoặc giảm, và bạn có thể không thu hồi được toàn bộ số tiền đã đầu tư. Hiệu suất hoạt động trong quá khứ không phải là chỉ báo đáng tin cậy cho kết quả tương lai. Trước khi đưa ra bất kỳ quyết định đầu tư nào, bạn nên đánh giá cẩn thận kinh nghiệm đầu tư, tình hình tài chính, mục tiêu đầu tư và khả năng chấp nhận rủi ro của mình, đồng thời tự mình nghiên cứu. Nếu cần thiết, hãy tham khảo ý kiến của một cố vấn tài chính độc lập.

Tuyên bố từ chối trách nhiệm

Nội dung trên trang này chỉ được cung cấp cho mục đích thông tin và không cấu thành tư vấn đầu tư, tư vấn tài chính hoặc khuyến nghị giao dịch. Gate sẽ không chịu trách nhiệm đối với bất kỳ tổn thất hoặc thiệt hại nào phát sinh từ các quyết định tài chính đó. Hơn nữa, xin lưu ý rằng Gate có thể không cung cấp đầy đủ dịch vụ tại một số thị trường và khu vực pháp lý nhất định, bao gồm nhưng không giới hạn ở Hoa Kỳ, Canada, Iran và Cuba. Để biết thêm thông tin về các Khu vực bị hạn chế, vui lòng tham khảo Thỏa thuận người dùng.

Thị trường giao dịch khác

MFA
CFD
Giao dịch

Bài viết hot về MFA Financial Inc (MFA)

BlockChainReporter

BlockChainReporter

10 tiếng trước
Tại sao lại chấp nhận các nền tảng đang bắt kịp khi gã khổng lồ tiếp theo đã thắng thế rồi? Trong khi Yeet tập trung vào các arcade crypto và Unibet đẩy mạnh ứng dụng hợp nhất mới của mình, Spartans.com đang chứng minh lý do tại sao nó là trang cá cược tốt nhất. Cung cấp giá trị thực qua 33% CashRake, nhà cái trực tuyến này dễ dàng vượt qua các đối thủ cạnh tranh. Spartans.com đã đảm bảo một nhóm khách hàng mục tiêu rõ ràng sẽ trở nên rõ ràng sau ba năm nữa. Khán giả RAF, theo dõi các ngôi sao như Gable Steveson, Colby Covington và Kennedy Blades, chính xác là nhóm đối tượng cạnh tranh, bản địa kỹ thuật số thúc đẩy sự tăng trưởng cá cược thể thao toàn cầu. Spartans nhận diện được sự chồng chéo này và đã ký quyền độc quyền trước khi ai khác có thể làm được. Họ đã nhìn thấy sự cộng hưởng này trước, ký hợp đồng trước khi ra mắt vào ngày 1 tháng 8. Spartans.com x RAF: Khoá Đối Tượng Nhóm Khách Hàng Thay Đổi Mọi Thứ Gable Steveson là nhà vô địch NCAA hai lần và huy chương vàng Olympic. Colby Covington dễ dàng là một trong những tên tuổi nhận diện nhất trong MMA hiện nay. Kennedy Blades là nhà vô địch thế giới. Khán giả Real American Freestyle (RAF) theo dõi họ không phải là người xem bình thường. Đó là nhóm đối tượng gồm những người cạnh tranh cao, am hiểu thể thao và bản địa kỹ thuật số, đã tham gia sâu sắc vào các kết quả có cược cao. Nhóm khách hàng đặc biệt này chính xác là đối tượng thúc đẩy sự tăng trưởng iGaming toàn cầu. Spartans đã nhận diện được sự chồng chéo khổng lồ này trước khi phần còn lại của thị trường bắt kịp, bước vào ký hợp đồng độc quyền iGaming với RAF. Bằng cách đảm bảo một thỏa thuận nơi họ là nền tảng iGaming duy nhất liên kết với tài sản này, họ đã khẳng định vị thế của mình là trang cá cược tốt nhất cho nhóm người hâm mộ cuồng nhiệt này. Năm năm nữa, khi sự kết hợp giữa văn hóa thể thao đối kháng và cá cược crypto được xem là một sự cộng hưởng rõ ràng hoàn toàn, mọi người sẽ nhắc lại chính xác hợp đồng này. Họ sẽ nhận ra đó là khoảnh khắc ai đó đã nhìn thấy tiềm năng thực sự đầu tiên. Spartans biết chính xác họ đang làm gì khi đưa hai thế giới này lại với nhau. Họ đã nhìn thấy trước, và đã ký giấy tờ trước khi ra mắt toàn cầu lớn vào ngày 1 tháng 8. Nếu bạn muốn chơi trên trang cá cược tốt nhất, bạn sẽ đi đến nơi đã khóa chặt hành động rồi. Spartans.com đã làm đúng điều đó, đảm bảo lợi thế nhóm khách hàng mục tiêu mang lại lợi thế không thể đánh bại. Yeet Casino mang đến sức nóng Crypto, nhưng còn cá cược thể thao thì sao? Yeet Casino đang xếp hàng với hơn 7.000 trò chơi, bao gồm các trò chơi gốc đặc biệt như Coin Race và Risky Click. Là nền tảng chỉ dành cho crypto, họ làm cho việc tham gia vào hành động trở nên cực kỳ dễ dàng với 20 đồng coin khác nhau, thậm chí các lựa chọn xu hướng như PEPE và PENGU. Giao dịch cực nhanh với phí rút nhỏ $1 flat, giữ tiền của bạn đúng nơi nó thuộc về. Thêm vào đó là các chương trình khuyến mãi như $20M Cryptodrop lớn và hệ thống VIP đẩy lên tới 120% rakeback, phần thưởng hàng ngày rất lớn. Tuy nhiên, nếu bạn muốn cá cược thể thao hàng đầu ngay lúc này, có thể bạn cần chờ đợi một chút. Trong khi phần casino đã đầy đủ và an toàn cao với MFA, cá cược thể thao truyền thống vẫn đang trong giai đoạn triển khai và sẽ ra mắt sớm. Hiện tại là nơi tuyệt vời để chơi slot hoặc trò chơi dealer trực tiếp, nhưng người hâm mộ thể thao thực tế sẽ phải chờ thêm một chút nữa để có quyền truy cập đầy đủ vào thị trường. Một Cập Nhật Lớn Cho Nhà Cái Trực Tuyến Này Unibet vừa thực hiện một nâng cấp lớn bằng cách tích hợp hoàn toàn vào FDJ UNITED. Nếu trước đây bạn đã dùng ParionsSport, tài khoản của bạn giờ đã được chuyển trực tiếp vào ứng dụng Unibet. Bạn có một nền tảng hợp nhất kết hợp lịch sử chơi game và số dư của mình trong một chỗ duy nhất. Điều này có nghĩa là không còn phiền phức khi chuyển đổi giữa poker tại UDSO Bucharest và đặt cược các trận đấu yêu thích trên nhà cái trực tuyến. Chuyển đổi liền mạch mang lại trải nghiệm nhanh hơn, phù hợp với lịch trình mùa hè bận rộn. Để ăn mừng ứng dụng mới, phần thưởng được tích hợp rất nhiều cho tất cả những ai tham gia hành động. Bạn có thể nhận £30 cược miễn phí từ cược £10 trên nhà cái trực tuyến, hoặc nhận 200 vòng quay miễn phí trên Big Bass Bonanza. Người chơi poker chuyển đổi cũng nhận được các ưu đãi trung thành đặc biệt. Với Liên hoan Poker Malta diễn ra cùng các tỷ lệ cược hàng ngày giá trị cao, Unibet đang cung cấp giá trị đáng kể cho tất cả người dùng ngay lúc này. Tổng Kết Trong khi Yeet cung cấp các trò chơi arcade crypto vững chắc, các tùy chọn cá cược thể thao của nó vẫn đang bắt kịp. Unibet cung cấp một nhà cái trực tuyến tuyệt vời qua sự hợp nhất mới với FDJ, nhưng vẫn theo lối chơi truyền thống cũ. Spartans đang chạy một cuộc đua hoàn toàn khác. Bằng cách ký quyền độc quyền iGaming với Real American Freestyle (RAF), họ đã đảm bảo một nhóm khách hàng có trình độ thể thao cao, am hiểu kỹ thuật số. Kết hợp cá cược crypto với các ngôi sao thể thao đối kháng như Gable Steveson và Colby Covington tạo ra một sự cộng hưởng lớn sẽ trở nên rõ ràng trong ba năm tới. Spartans đã nhìn thấy khoá đối tượng này trước và ký hợp đồng ngay trước khi ra mắt toàn cầu vào ngày 1 tháng 8. Nếu bạn muốn trang cá cược tốt nhất, tự động mang lại giá trị thực qua 33% CashRake trên mỗi cược, điểm đến tối thượng đã có mặt rồi. Tìm hiểu thêm về Spartans: Trang web: Instagram: Twitter/X: YouTube:
PEPE+0,94%
PENGU-0,82%
0
0
0
0
BridgeJumper

BridgeJumper

04-21 14:42
Tôi đã kiểm tra mạng lưới hơn mười năm nay rồi, và tôi cần nói rõ điều này: NFT không thể bảo vệ mạng của bạn. Tôi biết bạn đã thấy các tiêu đề. Có thể ai đó đã đề xuất cho bạn đăng nhập dựa trên NFT. Có thể bạn đã đọc về bảo mật blockchain trên Twitter. Nhưng đây là những gì tôi thực sự thấy làm hỏng mạng—các router cấu hình sai, mật khẩu dùng đi dùng lại, firmware chưa được vá lỗi chạy từ năm 2021. Chưa từng có NFT nào là vấn đề. Chưa từng có NFT nào là giải pháp. Cụm từ "cách giữ an toàn cho mạng của bạn với các giải pháp NFT" không phải là lời khuyên thực sự. Đó là một cái bẫy từ khóa. Đó là khi ai đó nhầm lẫn "blockchain" với "bảo mật." Chúng không giống nhau. Thậm chí còn xa nhau. Hãy để tôi nói rõ về những gì tôi đã chứng kiến xảy ra năm ngoái. Một ngân hàng trung bình trì hoãn triển khai MFA trong bốn tháng vì CTO của họ đã chạy theo đăng nhập dựa trên NFT. Bốn tháng. Trong khi mạng của họ đã bị phơi bày. Trong khi đó, tôi đã thấy các nhà cung cấp tuyên bố sản phẩm của họ được bảo vệ bằng NFT, token hóa, xác minh bằng blockchain—và khi hỏi nơi lưu trữ khóa mã hóa thực sự, họ im lặng. Tôi đã kiểm tra ba nền tảng NFT an toàn giả định vào tháng trước. Không nền nào có báo cáo SOC 2. Không có kết quả kiểm thử thâm nhập công khai nào. Một whitepaper chỉ đơn thuần là ba trang ẩn dụ. Đây là những gì thực sự hiệu quả. Những gì tôi triển khai trên mọi mạng lưới. Những gì ngăn chặn các cuộc tấn công thực sự: Mật khẩu mạnh cộng với MFA. Không phải một trong hai. Cả hai. Và đừng dùng xác thực SMS 2FA—nó bị chặn bắt. Dùng Microsoft Authenticator hoặc chìa khóa phần cứng. Tôi vô hiệu hóa SMS trên mọi mạng khách hàng. Vá tất cả mọi thứ. Router của bạn chạy firmware năm 2021? Đã bị xâm nhập theo ba cách rõ ràng. Hệ điều hành của bạn? Cũng vậy. Không ngoại lệ. Phân đoạn mạng. Nếu VLAN của bộ phận nhân sự có thể nói chuyện với Wi-Fi khách, nếu máy in của bạn có thể truy cập vào máy chủ bảng lương, bạn đã thua rồi. Phòng chống xâm nhập không phải lý thuyết khi bạn phân đoạn đúng—nó tự động. DNS mã hóa. DoH hoặc DoT. Ngăn chặn nghe lén cục bộ. Chặn chuyển hướng malware DNS. Không tốn thêm phí. Chỉ cần bật lên. Trước giờ ăn trưa hôm nay, hãy làm điều này: tắt UPnP, đổi tên tài khoản quản trị mặc định của bạn (thật nghiêm túc, đổi "admin"/"password"), xác minh cập nhật tự động thực sự được bật và hoạt động. Bạn không cần AI. Bạn không cần blockchain. Bạn cần kỷ luật. Tôi đã xây dựng một kế hoạch bảo mật thực sự cho một công ty luật nhỏ vào năm ngoái. Tuần đầu tiên, tôi tắt Telnet và SMBv1. Tuần thứ ba, MFA ở mọi nơi. Từ tuần thứ năm đến tám, chúng tôi phân đoạn mạng đúng cách. Tuần thứ chín, chúng tôi tổ chức diễn tập mô phỏng—giả vờ firewall logs cho thấy Cobalt Strike, xem ai thực sự biết nơi lưu trữ bản sao lưu. Thành công không đo bằng các công cụ đắt tiền. Nó đo bằng những gì không xảy ra: không có CVE nào bị vá lỗi trong 30 ngày, không có click phishing nào sau tháng thứ hai. Tôi đã đọc 47 bản trình bày của nhà cung cấp trong năm nay. Tất cả đều dùng các cụm từ như "truy cập bảo vệ bằng NFT" hoặc "tường lửa token hóa" hoặc "sở hữu khóa mạng của bạn qua NFT." Bạn biết ý nghĩa thực sự của chúng là gì không? Một tra cứu cơ sở dữ liệu kèm theo một API gọi thêm. Một tệp cấu hình đổi tên thành firewall.json. Bạn giữ một token trỏ đến một khóa mà người khác kiểm soát. FTC đã phạt một công ty 2,5 triệu đô la năm ngoái vì tuyên bố VPN xác thực bằng NFT của họ đáp ứng FIPS 140-2. Thật ra thì không. Nếu nhà cung cấp bắt đầu bằng bảo mật NFT trước khi đề cập đến TLS 1.3 hoặc vá lỗi CVE, hãy rút lui. Nếu buổi trình diễn không cho thấy một module bảo mật phần cứng hoặc tạo khóa cách ly, hãy coi đó là sân khấu. Blockchain làm tốt một việc: làm cho các nhật ký khó giả mạo. Điều đó hữu ích. Nó không phải là ma thuật. Nó không phải là tường lửa. Nó là sổ cái. Tường lửa của bạn vẫn cần các quy tắc. Người dùng của bạn vẫn cần đào tạo. CISO của bạn vẫn cần ngủ. Bảo mật thực sự nhàm chán. Đó là cập nhật firmware. Đó là kiểm tra router của bạn ngay bây giờ. Đó là thay đổi mật khẩu mặc định đó. Đừng chạy theo các token sáng bóng. Danh sách Shields Up của CISA là miễn phí. NIST SP 800-207 là miễn phí. CIS Controls v8 là miễn phí. Hãy sử dụng chúng. Sự nhất quán luôn vượt trội hơn sự mới lạ từng lần một. MFA cho mọi tài khoản quản trị và đám mây. Làm ngay trước ngày mai. Không phải tuần tới. Không phải sau cuộc họp. Trước khi bạn đóng trình này lại. Mạng của bạn không an toàn vì nó trông có vẻ an toàn. Nó an toàn vì bạn đã thực sự làm công việc đó.
0
0
0
0
DeepFlowTech

DeepFlowTech

04-20 03:12
Tác giả: Zengineer Biên dịch: Deep潮 TechFlow Deep潮 giới thiệu: Ngày 18 tháng 4, Kelp DAO bị đánh cắp 292 triệu USD, là vụ DeFi lớn nhất từ đầu năm 2026 đến nay. Lỗ hổng không nằm trong mã hợp đồng thông minh, mà ở cấu hình nút xác thực LayerZero cross-chain bridge dạng 1-of-1 — một điểm yếu duy nhất có thể giả mạo tin nhắn xuyên chuỗi. 12 ngày trước, tác giả đã dùng công cụ kiểm tra an ninh mã nguồn mở do chính mình phát triển để quét Kelp, đã từng đánh dấu điểm rủi ro này. Bài viết này tổng kết toàn bộ quá trình tấn công, cũng thành thật tự phê bình về 3 điều công cụ đã làm chưa đúng lúc đó. Kelp DAO là gì Kelp DAO là một giao thức staking lại thanh khoản xây trên EigenLayer. Cơ chế như sau: người dùng gửi ETH hoặc token staking (stETH, ETHx) vào hợp đồng Kelp, hợp đồng sau đó ủy thác tài sản cho các nút vận hành của EigenLayer để thực hiện staking lại — đồng thời cung cấp an toàn cho nhiều dịch vụ AVS (Actively Validated Services, dịch vụ xác thực chủ động). Đổi lại, người dùng nhận được rsETH làm chứng chỉ. Khác với việc staking trực tiếp trên EigenLayer (tài sản bị khóa), rsETH là token có tính thanh khoản — có thể giao dịch, dùng làm tài sản thế chấp trong các giao thức vay như Aave, hoặc xuyên chuỗi. Để thực hiện tính thanh khoản xuyên chuỗi này, Kelp dùng tiêu chuẩn OFT (Omnichain Fungible Token, token đồng nhất toàn chuỗi) của LayerZero để triển khai rsETH trên hơn 16 chuỗi. Khi bạn chuyển rsETH từ Ethereum sang một chuỗi Layer 2, mạng xác thực phi tập trung DVN (Decentralized Verifier Network) của LayerZero sẽ kiểm tra tính hợp lệ của tin nhắn xuyên chuỗi này. Kiến trúc cầu nối này chính là trung tâm của câu chuyện phía sau. Kelp do Amitej Gajjala và Dheeraj Borra (trước đây là đồng sáng lập Stader Labs) khởi xướng, ra mắt tháng 12 năm 2023, TVL đạt đỉnh 2.09 tỷ USD, quản trị bằng token KERNEL theo hình thức multi-sig 6/8 và khóa thời gian 10 ngày để nâng cấp hợp đồng. Token quản trị này điều hành 3 dòng sản phẩm: Kelp, Kernel, Gain. Vụ bị đánh cắp Ngày 18 tháng 4 năm 2026, hacker rút ra 116,500 rsETH từ cầu nối xuyên chuỗi của Kelp DAO, trị giá khoảng 292 triệu USD — là vụ tấn công DeFi lớn nhất từ đầu năm 2026 đến nay. Nguyên nhân chính không phải do lỗ hổng hợp đồng thông minh, mà là vấn đề cấu hình: một thiết lập DVN dạng 1-of-1 (chỉ có 1 nút xác thực, chỉ cần 1 chữ ký là đủ) khiến hacker có thể giả mạo tin nhắn xuyên chuỗi bằng cách tấn công phá vỡ nút duy nhất này. 12 ngày trước, ngày 6 tháng 4, công cụ kiểm tra an ninh mã nguồn mở của tác giả đã từng đánh dấu điểm rủi ro này. Nói rõ: vụ bị đánh cắp này là do người thật mất tiền thật. Người gửi WETH trong Aave hoặc các giao thức khác, không liên quan đến rsETH, đã bị phong tỏa tài khoản; nhiều LP trong các giao thức phải gánh chịu khoản nợ xấu mà họ không ký hợp đồng. Bài viết phân tích chuyện đã xảy ra, công cụ của chúng tôi đã phát hiện ra gì — nhưng cái giá thực tế người thiệt hại phải trả còn quan trọng hơn mọi bảng điểm rủi ro. Báo cáo đầy đủ đăng trên GitHub, thời gian commit có thể xác minh công khai. Dưới đây là kể lại những gì chúng tôi đã phát hiện, những gì bỏ lỡ, và ý nghĩa của vụ việc đối với công cụ an ninh DeFi. 46 phút, chấn động DeFi Vào 17:35 UTC ngày 18 tháng 4, hacker tấn công phá vỡ nút xác thực DVN độc lập đó, rồi "phê duyệt" một tin nhắn giả mạo xuyên chuỗi. Endpoint của LayerZero thấy DVN đã xác nhận, gửi tin qua lzReceive đến hợp đồng OFT của Kelp — hợp đồng làm theo, đã mint ra 116,500 rsETH trên mạng chính Ethereum. Tin nhắn tuyên bố các chuỗi khác đã khóa tài sản trị giá tương đương làm bảo đảm. Thực tế, các tài sản đó hoàn toàn không tồn tại. Tiếp theo là một quy trình rửa tiền tiêu chuẩn của DeFi: Dùng rsETH làm tài sản thế chấp gửi vào Aave V3, Compound V3, Euler Dùng các tài sản không có bảo đảm này vay khoảng 236 triệu USD WETH Tập trung khoảng 74,000 ETH, rút ra qua Tornado Cash Sau 46 phút, lúc 18:21, hợp đồng của Kelp đã bị tạm dừng khẩn cấp và khóa multi-sig. Hacker sau đó hai lần truy đuổi (mỗi lần 40,000 rsETH, khoảng 100 triệu USD), đều bị revert — lần này, lệnh tạm dừng đã ngăn chặn được khoảng 200 triệu USD. Tuy nhiên, phạm vi ảnh hưởng vẫn rất lớn. Aave V3 đã phải gánh khoản nợ xấu khoảng 177 triệu USD. Giá token AAVE giảm 10.27%. ETH giảm 3%. Tỷ lệ sử dụng WETH trên Aave lập tức đạt 100%, người gửi tiền vội vàng rút lui. Hơn 20 chuỗi L2 có rsETH, trong một đêm, đều trở thành tài sản có giá trị nghi vấn. Ngày 6 tháng 4, báo cáo đã phát hiện gì Đầu tháng 4, ngay sau khi Drift Protocol bị đánh cắp 285 triệu USD ngày 1 tháng 4, tôi đã viết một bộ khung đánh giá rủi ro kiến trúc AI mở, tên là crypto-project-security-skill — dựa trên dữ liệu công khai (DeFiLlama, GoPlus, Safe API, xác thực trên chuỗi) để đánh giá các giao thức DeFi. Nó không phải là công cụ quét mã hay xác thực hình thức. Sự kiện Drift giúp tôi nhận ra: nguyên nhân gây thiệt hại lớn nhất không nằm trong mã hợp đồng, mà ở các lỗ hổng quản trị, sơ suất cấu hình, điểm mù kiến trúc — những chỗ mà các công cụ quét mã không thể nhìn thấy. Vì vậy, tôi đã phát triển một công cụ đánh giá riêng các tầng này: cấu trúc quản trị, phụ thuộc oracle, cơ chế kinh tế, kiến trúc xuyên chuỗi, so sánh với các mô hình tấn công nổi tiếng như Drift, Euler, Ronin, Harmony, Mango. Ngày 6 tháng 4, tôi đã thực hiện một cuộc kiểm tra toàn diện Kelp DAO. Báo cáo đầy đủ công khai trên GitHub, có dấu thời gian không thể chỉnh sửa. Điểm tổng thể của báo cáo dành cho Kelp là 72/100 (nguy cơ trung bình). Sau này xem lại, điểm này còn quá cao — các lỗ hổng thông tin xuyên chuỗi chưa rõ ràng, đáng ra phải làm điểm số thấp hơn. Nhưng dù xếp mức trung bình, báo cáo vẫn chỉ rõ ra điểm tấn công thực tế đã bị khai thác sau này. Dưới đây là phần trích đoạn trong báo cáo về "lỗ hổng thông tin" — liên quan đến cấu hình DVN của Kelp, chính là nguyên nhân dẫn đến vụ mất 292 triệu USD: Chú thích hình: Trong phần "Lỗ hổng thông tin" của báo cáo ngày 6 tháng 4, cấu hình DVN không minh bạch bị chỉ rõ trực tiếp Tiếp theo, đối chiếu từng điểm chúng tôi đã đánh dấu, và cách bị tấn công thực tế. Phát hiện 1: Cấu hình DVN không minh bạch (cảnh báo sớm) Báo cáo: 「Cấu hình LayerZero DVN (bộ xác thực của các chuỗi, yêu cầu ngưỡng) chưa được công khai」 Thực tế xảy ra: Kelp dùng cấu hình DVN dạng 1-of-1. Một nút duy nhất. Một điểm yếu duy nhất. Hacker chỉ cần tấn công phá vỡ nút này là có thể giả mạo tin xuyên chuỗi. Nếu cấu hình là 2-of-3 (được khuyến nghị tối thiểu trong ngành), hacker phải tấn công phá vỡ nhiều xác thực viên độc lập cùng lúc. Điều cần làm rõ: Đây là vấn đề của Kelp, không phải của LayerZero. LayerZero là hạ tầng — cung cấp khung DVN, còn mỗi giao thức tự chọn cấu hình: số nút xác thực (1-of-1, 2-of-3, 3-of-5...), dùng nút của ai, ngưỡng của từng chuỗi. Khi Kelp triển khai cầu OFT, chọn cấu hình 1-of-1. LayerZero hoàn toàn hỗ trợ 2-of-3 hoặc cao hơn — chỉ là Kelp không bật. Ví dụ: AWS cung cấp MFA (xác thực đa yếu tố). Nếu tài khoản của bạn bị xâm nhập vì chưa bật MFA, đó là lỗi của bạn, không phải của AWS. LayerZero đặt cơ chế an toàn đó ra đó, Kelp không dùng. Báo cáo của chúng tôi lúc đó không thể xác định chính xác ngưỡng DVN (vì Kelp chưa từng tiết lộ), nhưng rõ ràng liệt kê cấu hình không minh bạch này thành lỗ hổng chưa giải quyết và rủi ro. Không tiết lộ rõ ràng chính là một dấu hiệu đỏ. Phát hiện 2: Điểm yếu đơn điểm trên 16 chuỗi (trực tiếp) Báo cáo: 「Điểm yếu đơn điểm của LayerZero DVN có thể ảnh hưởng đến 16 chuỗi hỗ trợ rsETH」 Thực tế: Tin giả mạo đã thành công trên mạng chính Ethereum, lan sang tất cả các chuỗi khác đã triển khai rsETH. LayerZero đã chủ động tạm dừng tất cả cầu OFT từ Ethereum ra ngoài. Người nắm giữ rsETH trên hơn 20 chuỗi L2, trong một đêm, không rõ còn bảo đảm hay không. Đây là rủi ro hệ thống của đa chuỗi: rsETH cùng lúc trên Arbitrum, Optimism, Base, Scroll... nhưng tất cả giá trị đều dựa vào tài sản trên mạng chính Ethereum. Khi cầu nối chính bị tấn công, tất cả các chuỗi L2 chứa rsETH đều mất bảo đảm — người nắm giữ không thể rút, cũng không thể xác minh giá trị token của mình còn hay không. Các dịch vụ như earnETH của Lido (dưới dạng rsETH), cầu của Ethena qua LayerZero — đều bị tạm dừng. V phạm vi ảnh hưởng vượt xa Kelp. Phát hiện 3: Kiểm soát quản trị xuyên chuỗi chưa xác thực (vấn đề liên quan) Báo cáo: 「Chưa xác minh quyền kiểm soát quản trị cấu hình LayerZero OFT của các chuỗi — đặc biệt: quyền này có thuộc về multi-sig 6/8 và khóa thời gian 10 ngày, hay do các khóa quản trị riêng biệt kiểm soát」 Thực tế: Cấu hình DVN rõ ràng không nằm dưới quản trị chặt chẽ của core protocol. Nếu việc thay đổi cấu hình cầu nối cũng do multi-sig 6/8 và khóa thời gian 10 ngày kiểm soát, thì cấu hình 1-of-1 cần 6 trong 8 người đồng ý — cấu hình này khó mà không có ai quản lý. Điều này hé lộ một điểm mù quản trị phổ biến: nhiều giao thức đặt quy trình nâng cấp hợp đồng chính có multi-sig và khóa thời gian, nhưng các thay đổi vận hành — như cấu hình cầu nối, tham số oracle, quản lý whitelist — thường chỉ có một admin key kiểm soát. Kelp quản trị theo chuẩn hàng đầu (6/8 multi-sig + 10 ngày khóa), nhưng các biện pháp bảo vệ này không mở rộng tới điểm tấn công lớn nhất: cầu xuyên chuỗi. Phát hiện 4: Mô phỏng mô hình tấn công Ronin/Harmony (trực tiếp) Báo cáo: 「Các ví dụ lịch sử liên quan đến an toàn cầu. Việc triển khai LayerZero của Kelp trên 16 chuỗi mang tính phức tạp vận hành tương tự Ronin」 Thực tế: Đường tấn công gần như sao chép hoàn toàn kịch bản Ronin — phá vỡ xác thực cầu nối, giả mạo tin nhắn, rút sạch tài sản. Công cụ của chúng tôi dùng mô-đun nhận dạng mô hình tấn công, so sánh kiến trúc giao thức với các mô hình tấn công lịch sử, xác định đây là một trong các hướng tấn công nguy hiểm nhất. Lịch sử: Năm 2022, Ronin bị tấn công 5 trong 9 xác thực viên, mất 625 triệu USD; cùng năm, Horizon của Harmony bị tấn công 2 trong 5 xác thực viên, mất 100 triệu USD. Trường hợp của Kelp còn nghiêm trọng hơn — chỉ có 1 xác thực viên, mức độ bảo vệ cực thấp. Công cụ có thể phát hiện rủi ro này vì nó tự động so sánh kiến trúc giao thức với các mô hình tấn công lịch sử, chứ không chỉ dựa vào mã. Phát hiện 5: Không có quỹ bảo hiểm (làm tăng thiệt hại) Báo cáo: 「Giao thức hiện không có quỹ bảo hiểm riêng, cũng không có cơ chế chia sẻ thiệt hại để hấp thụ các khoản phạt」 Thực tế: Không có quỹ dự phòng, thiệt hại 292 triệu USD bị các giao thức phía dưới gánh hết. Khoản dự trữ thu hồi của Aave chỉ đủ để gỡ 30% khoản nợ xấu 177 triệu USD. Các LP trong các giao thức khác, không ký hợp đồng với rsETH, phải chịu thiệt hại lớn nhất. Hacker dùng rsETH làm tài sản thế chấp gửi vào Aave V3, Compound V3, Euler, rồi vay WETH thật. Khi rsETH bị xác nhận không có bảo đảm, các vị thế này trở thành nợ xấu không thể thanh lý — tài sản thế chấp thành giấy lộn, nhưng WETH đã mất. Tỷ lệ WETH trên Aave lập tức đạt 100%, người gửi tiền muốn rút cũng không được. Nếu bạn là người gửi WETH trên Aave, dù chưa từng dùng rsETH, cũng bị ảnh hưởng. Các hợp đồng bảo hiểm của Kelp và Nexus Mutual chỉ bảo vệ một số sản phẩm nhất định, không bao gồm rủi ro chính của giao thức rsETH. Điều này thể hiện trách nhiệm chưa rõ ràng của cả hai phía. Phía Kelp: một giao thức quản lý 1.3 tỷ USD TVL, không có quỹ bảo hiểm, không có cơ chế hấp thụ thiệt hại. Khi cầu bị tấn công, không có gì để giảm thiểu thiệt hại. Phía Aave: chấp nhận rsETH làm tài sản thế chấp, nhưng không đánh giá đúng rủi ro cấu hình cầu nối xuyên chuỗi. Các tham số rủi ro của Aave (LTV, ngưỡng thanh lý) thiết kế cho biến động giá bình thường, không tính đến rủi ro "cầu bị tấn công khiến tài sản thế chấp mất giá trong một đêm". Khoản dự trữ thu hồi không đủ để gỡ 30% nợ xấu. Về bản chất, đây là thất bại trong định giá rủi ro: Aave coi rsETH như một tài sản biến động bình thường, trong khi thực tế nó mang theo rủi ro tail của cầu nối bị tấn công. Sự phối hợp của hai bên đã làm trầm trọng thêm thiệt hại — Kelp không có quỹ bảo hiểm để ngăn chặn tài sản thế chấp xấu, Aave chưa có mô hình rủi ro đủ tinh vi để hạn chế rủi ro này trong kịch bản xấu. Chúng tôi đã sai ở đâu Có 3 điều đáng làm tốt hơn: Đánh giá rủi ro còn quá cao. Chúng tôi xếp rủi ro cầu nối xuyên chuỗi là "trung bình". Trong báo cáo, 5 lỗ hổng thông tin chưa rõ ràng có 3 liên quan đến cấu hình LayerZero, phù hợp với các mô hình tấn công Ronin/Harmony — đáng ra phải xếp là "cao" hoặc "nghiêm trọng". Không minh bạch chính là tín hiệu cảnh báo lớn hơn. Chúng tôi chưa thể xuyên thấu cấu hình. Báo cáo liên tục yêu cầu Kelp tiết lộ ngưỡng DVN, nhưng chúng tôi không thể xác minh độc lập. Đây chính là điểm mù cấu trúc mà các công cụ kiểm tra mã không thể nhìn thấy: tập trung vào logic mã, không thể phát hiện rủi ro cấu hình. Chúng tôi đã đánh dấu vấn đề, nhưng chưa thể trả lời rõ. Chúng tôi chưa kiểm tra trên chuỗi. Cấu hình DVN thực ra có thể đọc trực tiếp qua hợp đồng EndpointV2 của LayerZero. Chúng tôi hoàn toàn có thể truy vấn registry ULN302 để xác minh ngưỡng DVN của Kelp, thay vì coi là "chưa công khai". Nếu kiểm tra lúc đó, sẽ thấy rõ cấu hình 1-of-1, không cần Kelp tiết lộ. Đây là hướng cải thiện cụ thể nhất của công cụ: trong bước đánh giá xuyên chuỗi, thêm xác minh cấu hình DVN trên chuỗi. Phát hiện chưa đủ cụ thể, chưa đủ hành động. Việc nói "cấu hình DVN chưa tiết lộ" chỉ là quan sát thiếu dữ liệu — không dự đoán được tấn công. Các rủi ro như tập trung oracle, phụ thuộc cầu nối, thiếu bảo hiểm đều phổ biến trong nhiều giao thức cross-chain. Công cụ đã đánh dấu điểm không minh bạch của Kelp, nhưng cũng từng phát hiện các mô hình tương tự ở hàng chục giao thức chưa bị tấn công. Trong bối cảnh chưa có tỷ lệ báo động giả, tuyên bố "chúng tôi đã dự đoán" là phóng đại. Thật ra, chúng tôi đã đặt ra những câu hỏi đúng mà ít ai để ý, và một trong số đó đúng vào điểm then chốt. Về "minh bạch có trách nhiệm" Câu hỏi công bằng: nếu ngày 6 tháng 4 chúng tôi đã đánh dấu các rủi ro này, tại sao chưa kịp thông báo Kelp trước khi bị tấn công ngày 18 tháng 4? Chúng tôi không thông báo. Lý do: báo cáo chỉ phát hiện ra sự thiếu minh bạch — "cấu hình DVN chưa công khai", chứ không phải là lỗ hổng cụ thể có thể khai thác. Chúng tôi không biết cấu hình là 1-of-1, chỉ biết là không rõ. Không có dữ liệu cụ thể để tiết lộ. "Cầu của bạn không có tài liệu" là một quan sát quản trị, chứ không phải báo cáo bug bounty phù hợp. Xem lại, chúng tôi hoàn toàn có thể liên hệ trực tiếp với đội ngũ Kelp, hỏi về ngưỡng DVN của họ. Cuộc trao đổi đó có thể giúp tiết lộ cấu hình 1-of-1, thúc đẩy sửa chữa. Chúng tôi đã không làm vậy. Đây là bài học: dù phát hiện có vẻ mơ hồ, không phù hợp để công khai, thì hỏi riêng vẫn đáng giá. Về ý nghĩa của vụ việc đối với DeFi Kelp bị đánh cắp — giống Drift cách đây 17 ngày — không phải do lỗ hổng mã hợp đồng. Các công cụ tự động như Slither, Mythril, hay GoPlus cũng không thể phát hiện. Lỗ hổng nằm trong cấu hình triển khai, thiếu sót quản trị, quyết định kiến trúc — nằm trên mã nguồn. Điều này chính là chủ đề chính của crypto-project-security-skill: An toàn giao thức không chỉ là mã nguồn. Một giao thức có thể có Solidity hoàn hảo, được kiểm tra 5 lần bởi các công ty hàng đầu, thưởng bug 250.000 USD — nhưng vẫn bị mất 292 triệu USD vì cấu hình xác thực cầu nối. Công cụ này đã mở mã nguồn trên GitHub — ai cũng có thể xem xét phương pháp, chạy thử hoặc cải tiến. Thời gian 12 ngày. Các tín hiệu đã có từ lâu. Vấn đề là: làm thế nào để hệ sinh thái xây dựng được công cụ có thể phát hiện các tín hiệu này trước khi cầu nối khác sụp đổ. Bạn có thể làm gì Nếu bạn đang nắm giữ tài sản trong các giao thức DeFi có cầu nối xuyên chuỗi: Tự chạy một lần kiểm tra. Công cụ là mã nguồn mở. Không cần tin chúng tôi — tự xác minh. Kiểm tra cấu hình xác thực cầu nối. Nếu một giao thức không muốn tiết lộ ngưỡng DVN, coi đó là dấu hiệu đỏ. Báo cáo của chúng tôi làm như vậy, và chứng minh đúng. Đừng nghĩ rằng kiểm tra mã nguồn là đủ. Kelp đã có hơn 5 lần kiểm tra mã bởi các công ty uy tín (Code4rena, SigmaPrime, MixBytes). Kiểm tra mã truyền thống không nhằm mục đích phát hiện rủi ro cấu hình như ngưỡng DVN — đó là phân tích khác, không phải trách nhiệm của các công ty kiểm toán. Đánh giá bảo hiểm. Nếu một giao thức không có quỹ bảo hiểm, và bạn là LP trong nền tảng cho vay chấp nhận token của nó làm tài sản thế chấp, thì bạn đang gián tiếp bảo hiểm cho nó. Lần này, người gửi WETH trên Aave đã học bài đắt giá nhất. Bức tranh lớn hơn: AI Agent như một lớp an toàn Bài viết này nói về một công cụ và một vụ bị đánh cắp. Nhưng ý tưởng lớn hơn là: AI Agent có thể trở thành lớp an toàn độc lập cho nhà đầu tư DeFi. Mô hình an toàn truyền thống trong crypto: giao thức thuê các công ty kiểm toán, các công ty kiểm toán kiểm tra mã, rồi phát báo cáo. Mô hình này có điểm mù — vụ Kelp chính là ví dụ, nó tập trung vào mã đúng đắn, bỏ qua các rủi ro về cấu hình, quản trị, kiến trúc. Claude Code và các công cụ kỹ năng như vậy mang đến một hướng đi khác: bất kỳ ai cũng có thể dùng dữ liệu công khai, trong vài phút, chạy một đánh giá rủi ro AI hỗ trợ cho bất kỳ giao thức nào. Bạn không cần bỏ ra 200.000 USD thuê kiểm toán. Bạn không cần biết đọc Solidity. Bạn để agent so sánh kiến trúc giao thức với các mô hình tấn công đã biết, nó sẽ giúp bạn đặt ra các câu hỏi cần thiết trước khi gửi tiền. Điều này không thay thế kiểm toán chuyên nghiệp — nhưng giảm ngưỡng cho việc thực hiện thẩm định sơ bộ, để mọi người đều có thể dùng. Một LP đang cân nhắc đầu tư vào một giao thức staking lại mới, giờ có thể chạy một audit defi, nhận một báo cáo đánh giá cấu trúc về quản trị, oracle, cầu nối, cơ chế kinh tế. Đây là bước chuyển thực sự trong việc tự bảo vệ của các nhà đầu tư nhỏ lẻ và trung bình. Báo cáo của Kelp còn chưa hoàn hảo. Nó xếp rủi ro cầu nối là trung bình, đáng ra phải là nghiêm trọng. Nó chưa xuyên thấu cấu hình. Nhưng nó đã đặt ra đúng câu hỏi — nếu đội ngũ Kelp hoặc bất kỳ LP nào nghiêm túc xem xét các vấn đề này, thiệt hại 292 triệu USD hoàn toàn có thể tránh khỏi. Tham khảo CoinDesk: 2026 年最大加密攻击——Kelp DAO 被盗 2.92 亿美元 Crypto Briefing: Kelp DAO 遭 2.92 亿美元桥接攻击 DL News: 黑客攻击 DeFi 协议 Kelp DAO,损失约 3 亿美元 Bitcoin.com: ZachXBT 披露 KelpDAO 2.8 亿美元以上攻击事件 鉅亨網:2.93 亿美元的漏洞不在程式码里 Aave 在 X 上的官方声明 Kelp DAO 完整安全报告(2026 年 4 月 6 日) crypto-project-security-skill 源代码
KEP0,00%
ZRO+1,79%
EIGEN-0,10%
ETH-1,77%
0
0
0
0