Kelp DAO đã công khai tranh chấp một báo cáo mô tả sự cố cầu nối rsETH là một cuộc tấn công khai thác, cho rằng cài đặt mặc định của LayerZero, chứ không phải một cuộc tấn công có chủ đích, là nguyên nhân gây ra khoản thiệt hại 290 triệu USD. Tranh chấp này định hình lại sự cố ngày 18 tháng 4 từ khai thác bên ngoài thành lỗi cấu hình cơ sở hạ tầng.
Báo cáo tấn công cầu nối rsETH đã tuyên bố điều gì
Những gì bị mất theo báo cáo
Một đánh giá bảo mật được công bố bởi CredShields mô tả sự cố cầu nối rsETH là một cuộc khai thác liên quan đến cơ sở hạ tầng cầu nối cross-chain của Kelp DAO, với khoản thiệt hại khoảng 290 triệu USD. Báo cáo sử dụng ngôn ngữ phù hợp với một cuộc tấn công bên ngoài có chủ đích.
Tại sao sự cố được mô tả là một cuộc tấn công cầu nối
Báo cáo của CredShields đóng khung sự kiện bằng cách sử dụng thuật ngữ khai thác, ngụ ý một tác nhân đe dọa đã xác định và tận dụng lỗ hổng trong cơ chế cầu nối. Đặc điểm này đặt sự cố cùng với các vụ hack cầu nối DeFi nổi tiếng khác thay vì coi đó là một lỗi vận hành.
Tuy nhiên, cách diễn đạt trong tiêu đề tự nó báo hiệu một đặc điểm đang tranh chấp. Phản hồi của Kelp DAO, được ghi lại trong một chủ đề quản trị Aave, thách thức trực tiếp cách giải thích ưu tiên khai thác.
Tại sao Kelp DAO tranh chấp câu chuyện tấn công
Phản bác trung tâm của Kelp DAO
Lập trường phản đối của Kelp DAO, được trình bày trong cuộc thảo luận quản trị Aave, từ chối hoàn toàn nhãn tấn công. Giao thức duy trì rằng khoản thiệt hại là do cách cấu hình mặc định của nhắn tin cross-chain của LayerZero, chứ không phải từ một kẻ thù phát hiện ra con đường khai thác mới.
Đây không phải là một sự phân biệt ngữ nghĩa nhỏ. Phân loại một sự cố là một cuộc tấn công ngụ ý sự sơ suất về bảo mật trong việc bảo vệ chống lại các mối đe dọa bên ngoài. Phân loại nó là một lỗi cấu hình chuyển trách nhiệm sang các giá trị mặc định của cơ sở hạ tầng và các lựa chọn tích hợp.
Những phần nào của báo cáo đang bị tranh chấp
Kelp DAO tranh chấp cả cơ chế nhân quả và câu chuyện ngụ ý. Giao thức không tranh chấp rằng thiệt hại đã xảy ra, nhưng nó tranh chấp đặc điểm của CredShields về cách thức và lý do những thiệt hại đó xảy ra.
Xung đột là cụ thể: báo cáo CredShields chỉ định nguyên nhân cho một vectơ khai thác, trong khi phản bác quản trị của Kelp DAO chỉ định nguyên nhân cho các tham số mặc định của LayerZero không đủ cho giá trị được bảo mật.
Cài đặt mặc định của LayerZero trở thành tâm điểm như thế nào
Vai trò của cài đặt mặc định trong phiên bản sự kiện của Kelp DAO
Theo tài khoản của Kelp DAO trong chủ đề quản trị, cài đặt mặc định của LayerZero cho xác minh thông điệp cross-chain thiếu các đảm bảo bảo mật cần thiết cho tài sản cầu nối có giá trị cao. Giao thức lập luận rằng những giá trị mặc định từ nhà máy này đã tạo ra các điều kiện cho thiệt hại mà không yêu cầu một cuộc khai thác phức tạp.
Cài đặt mặc định trong nhắn tin cross-chain xác định cách các giao dịch được xác thực trên các mạng. Nếu không thay đổi, chúng có thể áp dụng cùng một ngưỡng xác minh cho một giao dịch chuyển 100 USD và một giao dịch chuyển 100 triệu USD, tạo ra rủi ro tỷ lệ thuận với giá trị mà không có bảo mật tỷ lệ thuận.
Tại sao vấn đề cấu hình khác với tuyên bố tấn công
Nếu cách đóng khung của Kelp DAO đúng, sự cố trở thành một câu hỏi trách nhiệm chung giữa các giao thức xây dựng trên cơ sở hạ tầng cross-chain và các lớp nhắn tin mà chúng phụ thuộc vào. Điều này về cơ bản khác với một kịch bản trong đó một kẻ tấn công bên ngoài tìm thấy lỗ hổng zero-day.
Một báo cáo riêng lưu ý sự thừa nhận của LayerZero về Nhóm Lazarus như một tác nhân có khả năng trong các sự cố cross-chain liên quan làm tăng thêm sự phức tạp. Sự tồn tại của các tác nhân đe dọa cấp nhà nước nhắm mục tiêu cơ sở hạ tầng cầu nối không tự động xác nhận cả khai thác hoặc đóng khung cấu hình cho sự cố cụ thể này.
Khoản thiệt hại 290 triệu USD có ý nghĩa gì đối với rsETH và rủi ro DeFi
Tại sao con số 290 triệu USD quan trọng
Khoản thiệt hại được báo cáo đặt điều này trong số các sự cố DeFi lớn nhất vào năm 2026. Đối với người nắm giữ rsETH và các giao thức có tiếp xúc với rsETH, xác định nguyên nhân gốc rễ ảnh hưởng trực tiếp đến kỳ vọng phục hồi, yêu cầu bảo hiểm và niềm tin vào tài sản trong tương lai.
Cuộc thảo luận quản trị Aave phản ánh cách các giao thức hạ nguồn đang đánh giá lại việc tiếp xúc với token restaking thanh khoản. Khi một sự cố cầu nối ở quy mô này xảy ra, các đối tác phải đánh giá liệu cơ sở hạ tầng của tài sản cơ bản có đáp ứng các tiêu chuẩn rủi ro của họ hay không, một mối lo ngại tương tự như những mối lo ngại được nêu ra khi các tổ chức nắm giữ các vị thế ETH đáng kể trên các thỏa thuận giám sát phức tạp.
Các câu hỏi người nắm giữ rsETH và đối tác sẽ hỏi tiếp theo
Tranh chấp phân loại có hậu quả thực tế. Nếu sự cố được phán quyết là lỗi cấu hình, trách nhiệm có thể rơi một phần vào LayerZero vì các giá trị mặc định không đầy đủ và một phần vào Kelp DAO vì không ghi đè chúng. Nếu được phán quyết là một cuộc khai thác, Kelp DAO phải đối mặt với sự giám sát sắc nét hơn về thiết kế bảo mật cầu nối.
Các dự án xây dựng chức năng cross-chain, bao gồm những dự án theo đuổi nguồn tài trợ mới cho phát triển cơ sở hạ tầng, sẽ đối mặt với những câu hỏi khó khăn hơn về cấu hình lớp nhắn tin của họ. Sự cố này làm nổi bật một khoảng trống trong các tiêu chuẩn bảo mật DeFi: hiện tại không có yêu cầu toàn ngành nào bắt buộc các giao thức ghi đè cài đặt cầu nối mặc định trước khi đưa vào hoạt động với tiền của người dùng.
Đối với các giao thức quan tâm đến quản trị có trách nhiệm và minh bạch, tranh chấp nhấn mạnh rằng phân loại sự cố không chỉ là học thuật. Nó xác định ai trả tiền, ai xây dựng lại niềm tin và những thay đổi trong cách triển khai cơ sở hạ tầng cross-chain.
Câu hỏi thường gặp về sự cố Kelp DAO và rsETH
Kelp DAO có xác nhận một cuộc tấn công cầu nối rsETH không?
Không. Kelp DAO tranh chấp rõ ràng đặc điểm "tấn công" trong chủ đề quản trị Aave, lập luận rằng khoản thiệt hại là do cài đặt cấu hình mặc định của LayerZero chứ không phải một cuộc khai thác có chủ đích bởi một kẻ tấn công bên ngoài.
Kelp DAO đổ lỗi cho điều gì về khoản thiệt hại 290 triệu USD?
Kelp DAO chỉ ra cài đặt mặc định của LayerZero cho xác minh thông điệp cross-chain, tuyên bố những giá trị mặc định này không đầy đủ để bảo mật giá trị chuyển qua cầu nối.
Tại sao cài đặt mặc định của LayerZero là trung tâm của tranh chấp?
Cài đặt mặc định xác định cách các thông điệp cross-chain được xác thực. Kelp DAO lập luận rằng các giá trị mặc định không thay đổi đã tạo ra một khoảng trống bảo mật dẫn đến thiệt hại, biến nó thành một vấn đề trách nhiệm cấu hình thay vì một cuộc khai thác mới.
Điều này đang được đóng khung là một vụ hack hay một vấn đề cấu hình?
Cả hai cách đóng khung đều tồn tại trong hồ sơ công khai. Báo cáo của CredShields sử dụng ngôn ngữ khai thác, trong khi phản bác quản trị của Kelp DAO quy khoản thiệt hại cho cài đặt mặc định. Phân loại vẫn còn tranh chấp tính đến tháng 4 năm 2026.
Disclaimer: Bài viết này chỉ nhằm mục đích cung cấp thông tin và không cấu thành lời khuyên tài chính hoặc đầu tư. Thị trường tiền mã hoá và tài sản kỹ thuật số mang lại rủi ro đáng kể. Luôn tự nghiên cứu trước khi đưa ra quyết định.
Source: https://coincu.com/defi/kelp-dao-rseth-bridge-attack-report-layerzero-290m-loss/
