Kelp, một giao thức liquid restaking, đã trở thành nạn nhân của một cuộc tấn công mạng vào thứ Bảy, khiến nền tảng này phải tạm dừng các hợp đồng thông minh đối với restaking token (rsETH) của mình, trong khi họ đang “điều tra” vụ tấn công giữa những báo cáo về thiệt hại lên tới hàng trăm triệu USD.

“Sáng nay, chúng tôi đã phát hiện hoạt động đáng ngờ trên nhiều chuỗi liên quan đến rsETH. Chúng tôi đã tạm dừng các hợp đồng rsETH trên mạng chính và một số mạng Layer-2”, nền tảng Kelp cho biết trong một bài đăng trên X.

Kẻ tấn công đã khai thác hợp đồng cầu nối (adapter bridge) rsETH — đoạn mã phần mềm quản lý token rsETH của Kelp — và rút khoảng 293 triệu USD khỏi nền tảng, theo công ty bảo mật blockchain Cyvers.

Theo Cyvers, kẻ tấn công đã sử dụng địa chỉ được cấp vốn từ bộ trộn tiền điện tử Tornado Cash và đã chuyển đổi khoảng 250 triệu đô la Mỹ tiền bị đánh cắp thành Ether (ETH), loại tiền điện tử gốc của mạng blockchain layer-1 Ethereum.

Để đáp trả cuộc tấn công, nền tảng tài chính phi tập trung (DeFi) Aave đã thông báo đóng băng thị trường rsETH trên Aave V3 và V4. Theo Cyvers, ít nhất chín giao thức tiền điện tử khác có liên quan đến token này và đã đóng băng hoạt động trên nền tảng của họ để đối phó.

“Đây chính là loại sự cố làm nổi bật những rủi ro của tính chất kết hợp trong DeFi”, Deddy Lavid, CEO của Cyvers, nói. 

Vụ việc này là vụ tấn công mạng và khai thác lỗ hổng bảo mật mới nhất nhắm vào các nền tảng tiền điện tử trong vài tháng qua, khi tổng thiệt hại về tiền điện tử do các vụ tấn công và lừa đảo lên tới khoảng 482 triệu USD trong quý 1 năm 2026.