Sự cố bảo mật

LayerZero cho biết vụ khai thác (exploit) của Kelp DAO, được cho là do Nhóm Lazarus của Triều Tiên thực hiện, đã dẫn đến việc mất $292 triệu token rsETH do các lỗ hổng trong mạng lưới bộ xác minh phi tập trung của nó. Ngoài ra, eth.limo đã gặp tình trạng chiếm quyền điều khiển miền (domain hijacking) từ một cuộc tấn công kỹ thuật xã hội, nhưng DNSSEC đã giảm thiểu thiệt hại nghiêm trọng.

Một vụ hack gần đây đã rút gần $300 triệu từ một dự án crypto, dẫn đến khủng hoảng thanh khoản trên Aave, khiến người dùng rút khoảng $9 tỷ. Những lo ngại về chất lượng tài sản thế chấp đã thúc đẩy các đợt rút hàng loạt, nêu bật rủi ro trong cho vay DeFi.

Một cuộc tấn công lừa đảo Ethereum có phối hợp đã chiếm đoạt $585,000 từ bốn nạn nhân, lợi dụng quyền truy cập của người dùng thông qua một liên kết lừa đảo. Sự việc này nhấn mạnh việc mất tiền nhanh chóng thông qua kỹ thuật lừa đảo xã hội, ngay cả khi kẻ giả danh mang vỏ bọc hợp pháp.

Nền tảng phát triển đám mây Vercel đã bị tin tặc xâm nhập vào ngày 19 tháng 4. Kẻ tấn công đã giành quyền truy cập thông qua một công cụ AI bên thứ ba được nhân viên sử dụng, đồng thời đe dọa tống tiền 2 triệu USD. Mặc dù dữ liệu nhạy cảm không bị truy cập, nhưng có thể đã bị khai thác các dữ liệu khác. Sự việc này đã dấy lên mối lo ngại về an ninh trong cộng đồng tiền mã hóa; hiện tại Vercel đang tiến hành điều tra và khuyến nghị người dùng thay đổi khóa.

KelpDAO phải chịu khoản lỗ $290 triệu do một sự cố xâm nhập bảo mật tinh vi liên quan đến Tập đoàn Lazarus. Cuộc tấn công đã khai thác các điểm yếu trong cấu hình của hệ thống xác minh của họ và làm nổi bật rủi ro khi dựa vào một thiết lập xác minh chỉ tại một điểm. Các chuyên gia trong ngành nhấn mạnh sự cần thiết phải cải thiện cấu hình bảo mật và sử dụng cơ chế xác minh nhiều lớp để ngăn các sự cố trong tương lai.

LayerZero đã ra tuyên bố liên quan đến vụ tấn công nhắm vào Kelp DAO trị giá 292 triệu USD, cáo buộc rằng cấu hình Kelp chọn 1-of-1 DVN khiến sự cố trở nên có thể xảy ra, và thủ phạm là tập đoàn Lazarus của Bắc Triều Tiên. LayerZero nhấn mạnh sự kiện này xuất phát từ các lựa chọn cấu hình và sẽ không còn hỗ trợ các thiết lập dễ tổn thương như vậy nữa. Ngoài ra, vẫn còn tranh cãi về việc quy trách nhiệm, và không đưa ra phương án bồi thường.

Trong tháng 4 năm 2026, chỉ trong vòng 20 ngày, các giao thức mã hóa đã ghi nhận thiệt hại do các cuộc tấn công của tin tặc vượt quá 606 triệu USD, trở thành kỷ lục tổn thất theo tháng nghiêm trọng nhất kể từ sự kiện rò rỉ dữ liệu trị giá 1,4 tỷ USD của các sàn giao dịch vào tháng 2 năm 2025. Hai vụ tấn công KelpDAO và Drift Protocol chiếm tổng cộng 95% thiệt hại trong tháng 4 và 75% tổng thiệt hại 771,8 triệu USD tính đến nay trong năm 2026.

Vercel xác nhận một sự cố vi phạm an ninh do một công cụ AI bị xâm nhập gây ra, dẫn đến việc đánh cắp dữ liệu của nhân viên và khách hàng. Sự cố này tạo ra rủi ro cho hệ sinh thái Web3, và kẻ tấn công đang cố gắng bán dữ liệu bị đánh cắp với giá $2 triệu. Vercel đang xử lý tình huống cùng với lực lượng thực thi pháp luật và các chuyên gia ứng phó sự cố.

David Schwartz, CTO Emeritus tại Ripple, đã phân tích các lỗ hổng bảo mật của cầu nối sau vụ khai thác $292 million của Kelp DAO. Ông nhận thấy rằng các nhà cung cấp đã ưu tiên sự tiện lợi hơn là bảo mật vững chắc, làm suy yếu các tính năng bảo vệ thiết yếu. Vụ xâm nhập Kelp DAO bắt nguồn từ việc rò rỉ khóa riêng, được làm trầm trọng hơn bởi một cấu hình bảo mật được đơn giản hóa trong việc triển khai LayerZero của họ.

Kelp DAO 的 token tái thế chấp thanh khoản rsETH đã bị tin tặc khai thác lỗ hổng xác thực tin nhắn liên chuỗi vào ngày 19 tháng 4, dẫn đến việc 116.500 rsETH được giải phóng tới các địa chỉ do kẻ tấn công kiểm soát. Nhiều giao thức DeFi đã khẩn cấp tạm dừng các chức năng liên quan để ứng phó với các tổn thất tiềm ẩn. LayerZero chính thức cho biết đang tích cực khắc phục lỗ hổng và sẽ phát hành báo cáo phân tích sau sự cố.

Năm 2025, Pháp đã ghi nhận 41 vụ bắt cóc liên quan đến crypto, trong bối cảnh các vụ “tấn công bằng báng cờ-lê” gia tăng, dẫn đến việc siết chặt an ninh quanh các sự kiện blockchain. Các vụ việc cưỡng ép trên toàn cầu tăng 75%, trong đó Pháp dẫn đầu về số ca. Các nỗ lực nhằm nâng cao an toàn và giải quyết lo ngại rằng Pháp có thể trở thành một trung tâm crypto đang được triển khai.

Tên miền eth.limo đã bị chiếm quyền DNS vào ngày 17 tháng 4, kẻ tấn công đã giả mạo là thành viên của nhóm và thành công lừa nhà đăng ký tên miền EasyDNS thực hiện khôi phục tài khoản. Mặc dù sự cố này không ảnh hưởng đến người dùng, vì kẻ tấn công không có được khóa DNSSEC, nên không thể vượt qua chuỗi tin cậy. Sự cố này đã làm nổi bật rủi ro lừa đảo xã hội trong lĩnh vực mã hóa và thúc đẩy eth.limo chuyển sang dịch vụ Domainsure không hỗ trợ khôi phục tài khoản để tăng cường an toàn.

Curve Finance do các cơ sở hạ tầng LayerZero liên quan đến rsETH bị tấn công, đã tạm dừng chức năng liên chuỗi để phòng ngừa rủi ro, ảnh hưởng đến cầu nối liên chuỗi của CRV và cầu nối nhanh của crvUSD. Người sáng lập Egorov cho biết sự kiện lần này cho thấy rủi ro của “cho vay không cách ly”, và đề xuất chế độ hoàn toàn cách ly như một phương án thay thế. Kelp DAO thì do cuộc tấn công mà lỗ khoảng 292 triệu USD, ảnh hưởng đến hoạt động vay mượn trên nền tảng Aave.

Giao thức tái thế chấp thanh khoản Kelp’s cross-chain bridge bị tấn công, đánh cắp 116,500 rsETH và gửi vào Aave V3, tạo ra khoảng 196 triệu USD nợ xấu. Hợp đồng của Aave không bị ảnh hưởng, nhưng sự việc này cho thấy rủi ro hệ thống của tài sản thế chấp LRT, yêu cầu các giao thức DeFi đánh giá lại mô hình rủi ro, có thể khiến người nắm giữ stkAAVE phải đối mặt với tổn thất.

Sàn giao dịch phi tập trung Orca thông báo đã hoàn tất việc luân chuyển khóa mật mã và xác nhận rằng quỹ của người dùng được an toàn; hành động này là do nền tảng đám mây Vercel bị tấn công. Con đường tấn công là lợi dụng tích hợp OAuth của các công cụ AI bên thứ ba để xâm nhập vào hệ thống Vercel; lỗ hổng chuỗi cung ứng khiến các biện pháp bảo mật truyền thống khó có thể nhận diện. Vercel nhắc người dùng rà soát các biến môi trường để tăng cường lớp phòng thủ an toàn và cho biết các dự án mã hóa phụ thuộc vào hạ tầng đám mây tạo ra rủi ro bảo mật mới.

Thỏa thuận dự trữ được tạm dừng việc đúc eUSD và USD3 cũng như các thao tác giải phóng RSR vào ngày 20 tháng 4 do sự cố tấn công của Kelp DAO rsETH, nhưng chức năng mua lại vẫn hoạt động bình thường. Cuộc tấn công đã gây ra khủng hoảng thanh khoản của Aave, tiền gửi giảm đáng kể và giá token AAVE giảm.

Orca, giao thức thanh khoản trên Solana, đã xử lý một sự cố bảo mật tại nhà cung cấp dịch vụ lưu trữ của mình là Vercel bằng cách xoay các khóa bị xâm phạm. Họ xác nhận rằng tiền của người dùng không bị ảnh hưởng và sẽ cung cấp cập nhật khi tình hình diễn biến.

Kẻ tấn công đã khai thác một lỗ hổng trong cầu nối cross-chain của Kelp DAO, đánh cắp $293 triệu rsETH không được hỗ trợ. Sự cố đã gây ra những tổn thất đáng kể cho các nền tảng DeFi, trong đó Aave phải đối mặt với khoản nợ xấu lên tới $236 triệu và tác động đáng kể đến thị trường.

Nhà nghiên cứu tiền mã hóa Orbion bày tỏ lo ngại về khả năng thao túng các chỉ báo thị trường quan trọng, bao gồm Chỉ số Altseason và Chỉ số Sợ hãi và Tham lam trong Crypto, cho rằng các số liệu bị thổi phồng tạo ra sự lạc quan giả và làm nhà đầu tư hiểu sai về thời điểm bắt đầu của mùa altcoin.

Curve Finance đã tạm thời ngừng hạ tầng LayerZero của mình do một sự cố bảo mật liên quan đến rsETH. Nền tảng đang điều tra vấn đề này, ảnh hưởng đến một số hoạt động chuyển tiếp xuyên chuỗi (cross-chain bridging) trong khi các hoạt động khác vẫn diễn ra bình thường.