Công cụ AI mã nguồn mở cảnh báo lỗ hổng 292 triệu USD của Kelp DAO từ 12 ngày trước

博链BroadChain được biết, vào lúc 18:46 ngày 20 tháng 4, theo PANews, vào ngày 18 tháng 4, Kelp DAO đã bị đánh cắp 292 triệu USD do lỗ hổng cấu hình cầu nối cross-chain LayerZero, trở thành sự cố bảo mật DeFi lớn nhất từ đầu năm 2026 cho đến nay. Nguyên nhân gốc rễ của lỗ hổng nằm ở việc cầu nối OFT của nó sử dụng cấu hình nút xác thực DVN 1-of-1, kẻ tấn công chỉ cần xâm nhập một nút duy nhất là có thể giả mạo thông điệp cross-chain, tạo ra 116,500 rsETH không có tài sản đảm bảo trên mainnet. Khi tác giả sử dụng công cụ kiểm tra AI mã nguồn mở của mình để đánh giá rủi ro cho Kelp vào ngày 6 tháng 4, đã xác định rõ các khoảng trống thông tin quan trọng như "Cấu hình DVN không minh bạch" và "Rủi ro điểm yếu đơn lẻ trên 16 chuỗi", đồng thời chỉ ra rằng kiến trúc của nó rất giống với mô hình tấn công cầu nối lịch sử của Ronin và Harmony. Sau khi cuộc tấn công xảy ra, kẻ tấn công đã gửi rsETH bị đánh cắp làm tài sản thế chấp vào các giao thức như Aave V3, vay ra khoảng 236 triệu USD WETH, dẫn đến Aave phát sinh khoảng 177 triệu USD nợ xấu, ảnh hưởng đến người nắm giữ rsETH trên nhiều chuỗi và người dùng của các giao thức không liên quan. Sự kiện này làm nổi bật rủi ro hệ thống của các giao thức DeFi trong cấu hình kiến trúc cross-chain và quyền kiểm soát quản trị, chứ không chỉ đơn thuần là lỗ hổng hợp đồng thông minh.