Công cụ AI mã nguồn mở cảnh báo lỗ hổng 292 triệu USD của Kelp DAO từ 12 ngày trước

BroadChain được biết, vào 12:16 ngày 20 tháng 4, theo TechFlow, vào ngày 18 tháng 4, Kelp DAO đã bị đánh cắp 292 triệu USD do lỗ hổng cấu hình cầu nối cross-chain LayerZero, trở thành sự kiện bảo mật DeFi lớn nhất từ đầu năm 2026. Nguyên nhân của lỗ hổng nằm ở việc cầu nối OFT của họ sử dụng cấu hình nút xác thực DVN 1-of-1, kẻ tấn công chỉ cần xâm nhập một nút duy nhất để giả mạo tin nhắn cross-chain, tạo ra 116,500 rsETH từ không khí trên mạng chính Ethereum. Ngay từ ngày 6 tháng 4, một báo cáo kiểm toán AI mã nguồn mở đã chỉ rõ rủi ro này, chỉ ra rằng cấu hình DVN không minh bạch, tồn tại điểm lỗi đơn và mô hình tấn công rất giống với các cuộc tấn công cầu nối lịch sử của Ronin và Harmony. Báo cáo có điểm tổng hợp là 72/100 (rủi ro trung bình), nhưng thừa nhận rằng việc chấm điểm quá lỏng lẻo, không nâng mức rủi ro của cầu nối cross-chain lên cấp "nguy hiểm cao". Sau khi cuộc tấn công xảy ra, số rsETH bị đánh cắp được sử dụng làm tài sản thế chấp để vay khoảng 236 triệu USD WETH trên các giao thức như Aave, Compound, dẫn đến khoản nợ xấu khoảng 177 triệu USD trên Aave V3, ảnh hưởng đến người nắm giữ rsETH trên nhiều chuỗi và người dùng gửi tiền không liên quan. Sự kiện này đã phơi bày những thiếu sót hệ thống của giao thức DeFi trong cấu hình kiến trúc cross-chain, điểm mù quản trị và định giá rủi ro.