Tin tặc đã lợi dụng một cầu nối xuyên chuỗi (cross-chain) vào thứ Bảy, rút gần 300 triệu USD khỏi một mắt xích quan trọng của hạ tầng tài chính phi tập trung, kéo theo hiệu ứng lan rộng trên nhiều nền tảng tiền mã hóa.

Kẻ tấn công đã lấy đi khoảng 116.500 rsETH, một loại token do Kelp DAO phát hành, đại diện cho Ether được tái staking. Chúng thực hiện vụ này bằng cách nhắm vào một cầu nối được xây dựng trên LayerZero, hệ thống cho phép các blockchain giao tiếp với nhau. Tổng thiệt hại ước tính vào khoảng 293 triệu USD, biến đây thành vụ khai thác DeFi lớn nhất từ đầu năm 2026 đến nay.

“Chúng tôi đã phát hiện hoạt động xuyên chuỗi đáng ngờ liên quan đến rsETH,” Kelp DAO cho biết trong một bài đăng trên X. “Chúng tôi đã tạm dừng các hợp đồng rsETH trên mạng chính và một số mạng lớp hai trong khi tiến hành điều tra.”

Kelp DAO là một giao thức tái staking, cho phép người dùng gửi các token staking phổ biến như stETH hoặc cbETH và nhận lại rsETH. Token này sau đó có thể được sử dụng trên nhiều ứng dụng tiền mã hóa khác mà vẫn tiếp tục sinh lợi. Chính sự linh hoạt này đã giúp rsETH được sử dụng rộng rãi trên các nền tảng cho vay, giao dịch và cung cấp thanh khoản phi tập trung.

Nhưng cũng chính sự liên kết chặt chẽ đó đã nhanh chóng biến vụ xâm nhập thành vấn đề của toàn thị trường.

“Đây không chỉ là một vụ khai thác ở cấp độ giao thức mà ngay lập tức trở thành sự cố lây lan giữa các giao thức”, công ty an ninh Cyvers nhận định, ước tính có ít nhất 9 nền tảng khác bị ảnh hưởng.

Hiểu đơn giản, các giao thức DeFi thường xếp chồng lên nhau. Những tài sản như rsETH được tái sử dụng trên nhiều dịch vụ, chẳng hạn làm tài sản thế chấp cho các khoản vay hoặc làm thanh khoản trong các pool giao dịch. Khi một mắt xích gặp sự cố, nó có thể làm lung lay tất cả những nơi tài sản đó đang được sử dụng.

“Đây chính là kiểu sự cố cho thấy rõ rủi ro của các hệ thống liên kết trong DeFi”, giám đốc điều hành Cyvers Deddy Lavid nói. “Thách thức hiện nay vượt ra ngoài việc chỉ ngăn chặn lỗ hổng ở cấp độ hợp đồng, đồng thời đòi hỏi phải hiểu rõ tốc độ sự cố có thể lan rộng trên toàn bộ các giao thức tích hợp.”

Aave, giao thức cho vay DeFi lớn nhất với hơn 20 tỉ USD tài sản bị khóa, đã đóng băng các thị trường liên quan đến rsETH nhằm hạn chế thiệt hại.

“Việc đóng băng các thị trường rsETH sẽ ngăn chặn các khoản nạp mới và việc vay dựa trên tài sản thế chấp là rsETH trong khi tình hình được đánh giá”, nền tảng cho biết. Token của Aave đã giảm 20% trong phiên giao dịch tại châu Á vào Chủ nhật, theo dữ liệu từ Coingecko.

Giám đốc công nghệ của Cyvers, ông Meir Dolev, cho biết tình hình lẽ ra còn có thể tồi tệ hơn. Theo ông, giao thức “chỉ còn cách việc mất thêm 100 triệu USD khoảng ba phút”, trước khi một cơ chế chặn nhanh bằng danh sách đen ngăn được nỗ lực tấn công thứ hai.

Vụ tấn công này đã vượt qua sự cố trước đó của dự án Drift trên nền tảng Solana để trở thành vụ khai thác DeFi lớn nhất trong năm, đồng thời xảy ra vào thời điểm đặc biệt nhạy cảm đối với toàn ngành.