KelpDAO 30.000 ETH một cú nhấn để thu hồi, Arbitrum ra tay gây chấn động ngành

Viết bài: jsai@Jinse Finance

Ngày 18 tháng 4 năm 2026, lĩnh vực DeFi bùng nổ vụ tấn công quy mô lớn nhất từ đầu năm 2026 đến nay.

KelpDAO cầu rsETH (dựa trên giao thức cross-chain LayerZero) bị hacker lợi dụng, giả mạo khoảng 116.500 rsETH (trị giá khoảng 2,92 tỷ USD). Hacker thông qua việc giả mạo tin nhắn cross-chain, đúc ra rsETH không có chứng thực, sau đó nhanh chóng đổi thành ETH, phân tán vốn trên mạng chính Ethereum và Arbitrum One. Trong đó khoảng 30.766 ETH (khoảng 71 triệu USD) còn lại trên chuỗi Arbitrum One.

Ngày 21 tháng 4, Ủy ban An toàn của Arbitrum đã thực hiện hành động khẩn cấp hiếm hoi, thành công trong việc phong tỏa và chuyển khoản số tiền này. So với vụ hacker lấy đi 20 triệu OP vào năm 2022, khi đó Optimism rõ ràng từ chối sử dụng nâng cấp khẩn cấp để tạm dừng hoặc phong tỏa luồng token, thì đây là lần đầu tiên trong các Layer 2 Stage 1 (như Arbitrum One, Optimism, Base, Starknet, v.v.) có hành động kích hoạt ủy ban an toàn và phong tỏa quỹ.

Sự kiện này thể hiện khả năng phản ứng của một số Layer 2 trong tình huống khủng hoảng, nhưng cũng nhanh chóng gây ra cuộc tranh luận sôi nổi trong cộng đồng mã hóa về bản chất “phi tập trung”.

一、Arbitrum một cú nhấn chuyển khoản cho hacker

Trong tuyên bố ngày 21 tháng 4, chính thức của Arbitrum cho biết, sau khi ủy ban an toàn nhận được thông tin từ cơ quan thực thi pháp luật về danh tính của kẻ tấn công, qua “quá trình điều tra kỹ thuật và xem xét kỹ lưỡng”, đã thực hiện một “giải pháp kỹ thuật”, chuyển 30.766 ETH từ địa chỉ hacker sang một “ví phong tỏa trung gian” (intermediary frozen wallet).

<冻结交易tx>

Ví này chỉ có thể được mở khóa qua các hành động quản trị của Arbitrum, và không ảnh hưởng đến các trạng thái chuỗi, người dùng hoặc ứng dụng khác.

Việc chuyển khoản hoàn tất vào lúc 23:26 giờ Eastern Time ngày 20 tháng 4, địa chỉ ban đầu của hacker đã không còn truy cập được vào quỹ. Đây là một can thiệp “phẫu thuật chính xác”, chứ không phải tạm dừng toàn bộ chuỗi hoặc phân tách cứng.

Ủy ban An toàn của Arbitrum đã thực hiện hành động khẩn cấp, phong tỏa 30.766 ETH trong các địa chỉ Arbitrum One liên quan đến lỗ hổng của KelpDAO. Trong sự hỗ trợ của cơ quan thực thi pháp luật, ủy ban xác định danh tính của kẻ tấn công, và luôn duy trì an toàn, toàn vẹn của cộng đồng Arbitrum, đảm bảo không ảnh hưởng đến bất kỳ người dùng hoặc ứng dụng nào của Arbitrum.

Sau quá trình điều tra kỹ thuật và xem xét, ủy ban xác định và thực hiện một giải pháp kỹ thuật, chuyển quỹ đến vị trí an toàn mà không ảnh hưởng đến trạng thái của các chuỗi khác hoặc người dùng Arbitrum.

Tính đến 23:26 ngày 20 tháng 4 theo giờ Eastern, quỹ đã được chuyển thành công sang ví phong tỏa trung gian. Địa chỉ ban đầu nắm giữ quỹ này đã không thể truy cập, chỉ có thể thực hiện các hành động tiếp theo sau khi Arbitrum phối hợp với các bên liên quan để chuyển quỹ.

二、Chi tiết cơ chế phong tỏa: Quyền khẩn cấp của ủy ban an toàn

Arbitrum, với tư cách là Optimistic Rollup trên Ethereum (hiện đang ở giai đoạn Stage 1 theo xếp hạng của L2Beat), trong thiết kế kiến trúc đã tích hợp cơ chế cân bằng giữa phi tập trung và an toàn.

Điểm cốt lõi là ủy ban an toàn gồm 12 người (bầu chọn bởi Arbitrum DAO), có quyền nâng cấp khẩn cấp. Ủy ban có thể qua đa chữ ký 9/12 ủy quyền nâng cấp hệ thống hợp đồng hoặc thực hiện các biện pháp khẩn cấp, nhằm bảo vệ DAO, người dùng và toàn bộ hệ sinh thái. Đây không phải “cửa hậu”, mà là thiết kế quản trị công khai, để ứng phó với hacker, lỗ hổng hoặc rủi ro lớn.

Hành động lần này không chỉ đơn thuần “khóa địa chỉ”, mà là sử dụng khả năng nâng cấp của ủy ban an toàn, thực hiện chuyển chính xác ETH của hacker sang một địa chỉ phong tỏa trung gian. Cơ chế Rollup của Arbitrum cho phép trong tình huống khẩn cấp, qua quản trị, kiểm soát trạng thái hợp đồng cụ thể hoặc thực hiện các giao dịch đặc biệt mà không cần thay đổi toàn bộ sự đồng thuận chuỗi hoặc ảnh hưởng đến các địa chỉ khác.

Dựa trên phân tích trên chuỗi và các báo cáo kỹ thuật, điểm cốt lõi của hành động lần này là nâng cấp tạm thời hợp đồng Inbox (là nơi tiếp nhận tất cả các tin nhắn từ Arbitrum→Ethereum trên L1):

1. Ủy ban an toàn qua đa chữ ký 9/12 ủy quyền nâng cấp khẩn cấp: Khởi tạo một giao dịch trên mạng chính Ethereum, nâng cấp hợp đồng Inbox (hoặc các hợp đồng hệ thống liên quan). Sau nâng cấp, tạm thời thêm một hàm mới, cho phép “đại diện cho bất kỳ địa chỉ ví nào” gửi tin nhắn cross-chain — không cần khóa riêng của địa chỉ đó.

2. Tin nhắn chuyển khoản giả mạo của hacker: Sử dụng hàm mới, tạo ra một tin nhắn L1→L2, giả dạng địa chỉ hacker làm người gửi, nội dung là “chuyển toàn bộ ETH của địa chỉ đó sang ví phong tỏa trung gian”. Bước này về bản chất là “ký thay cho hacker” một lệnh chuyển L2, nhưng do ủy ban an toàn kích hoạt trên L1.

3. Thực thi chuyển khoản trên L2: Tin nhắn này được thực thi qua cơ chế Rollup của Arbitrum trên L2, ETH 30.766 của hacker sẽ được chuyển trực tiếp sang ví phong tỏa trung gian (intermediary frozen wallet). Quyền kiểm soát ví này chỉ thuộc về quản trị Arbitrum (DAO, sau đó sẽ bỏ phiếu mở khóa).

4. Hoàn tất nguyên tử + nâng cấp hoàn nguyên: Toàn bộ quá trình (nâng cấp → giả mạo tin nhắn → thực thi chuyển khoản → loại bỏ hàm mới/nâng cấp hoàn nguyên) đều hoàn tất trong một giao dịch duy nhất trên Ethereum. Việc nâng cấp là tạm thời, không thay đổi vĩnh viễn logic hợp đồng, cũng không ảnh hưởng đến số dư, trạng thái hợp đồng hoặc tương tác của các địa chỉ khác.

Nói cách đơn giản: ETH của hacker vẫn còn trên chuỗi Arbitrum One, nhưng ủy ban an toàn qua việc giả mạo tin nhắn chuyển khoản của địa chỉ hacker đã “di chuyển” ETH bị đánh cắp từ địa chỉ hacker sang một địa chỉ phong tỏa chỉ có DAO kiểm soát.

Điều này thể hiện sự thỏa hiệp thực dụng giữa tốc độ, an toàn và phi tập trung của Layer 2.

三、Thảo luận và tranh cãi trong cộng đồng mã hóa

Hành động này nhanh chóng gây ra phản ứng hai chiều trên X (Twitter) và các diễn đàn mã hóa.

Nhiều người ca ngợi đây là “quyết định đúng đắn và dũng cảm”: phần lớn quỹ đã được thu hồi (khoảng 24% bị phong tỏa), bảo vệ người dùng của các giao thức như KelpDAO, Aave, tránh rủi ro hệ thống lớn hơn. Có người đùa rằng “phi tập trung đến khi cần”, và chỉ ra rằng Bitcoin mới là chuỗi duy nhất “thật sự không thể phong tỏa”, còn Layer 2 vốn dĩ không hoàn toàn phi tập trung.

Một số ý kiến còn cho rằng, nếu chuỗi có thể phong tỏa tiền phạm pháp mà không làm gì, thì đó mới là trách nhiệm. Ủy ban an toàn chính là để làm điều này, hành động nhanh chóng và minh bạch, hiệu quả hơn nhiều so với các nhà phát hành stablecoin tập trung (như Circle). Các thành viên cộng đồng Arbitrum (như Griff Green) còn chúc mừng đây là “phản công chống hacker (có thể liên quan đến một số quốc gia)”.

Tuy nhiên, cũng có nhiều ý kiến phản đối và lo ngại, đó là điểm gây tranh cãi của hành động này, ví dụ:

Chết giả về phi tập trung: Nhiều ý kiến chỉ trích “đây phơi bày bản chất Arbitrum là một multi-sig wallet”, ủy ban an toàn có thể đơn phương phong tỏa bất kỳ địa chỉ nào, mở ra tiền lệ nguy hiểm. “Hôm nay là hacker, ngày mai có thể là người dùng bình thường?” “L2 phi tập trung chỉ là thuật ngữ marketing.”

Lo ngại hiệu ứng sụp đổ: Các người phản đối cho rằng, dù “về mặt kỹ thuật đúng”, nhưng chứng minh L2 vẫn dựa vào niềm tin vào số ít người (12 người trong ủy ban). Nếu chính phủ gây áp lực hoặc quản trị bị bắt giữ, các quyền hạn tương tự có thể bị lạm dụng. Có người tuyên bố “không dùng Arbitrum nữa, chuyển về L1”.

Bí mật công khai của rollup Stage 1: Người ủng hộ nhắc nhở rằng, đây đã được L2Beat ghi nhận là đặc điểm Stage 1 từ lâu (hầu hết các L2 như Base, Optimism đều tương tự), không phải lỗi bất thường. Nhưng các phản đối cho rằng, nhận thức của người dùng về “L2 phi tập trung” đã bị xé toạc, sự kiện này đã vén bức màn “lớp cuối cùng của sự che đậy”.

Tổng thể, cộng đồng đồng thuận rằng: trong ngắn hạn, đây là phản ứng cần thiết và hiệu quả để đối phó khủng hoảng, nhưng về dài hạn, vẫn cần thúc đẩy L2 tiến tới Stage 2 (phi nâng cấp, hoàn toàn phi tập trung).

Sự kiện này cũng làm nổi bật tranh luận muôn thuở về “phong tỏa tiền phạm pháp vs. không thể kiểm duyệt tuyệt đối” trong DeFi.

Kết luận: Lựa chọn an toàn thực tế của Layer 2

Hành động của ủy ban an toàn Arbitrum đã thành công trong việc cứu vãn phần nào tổn thất, thể hiện khả năng phản ứng nhanh của Layer 2 trong đối mặt với hacker quy mô lớn.

Nhưng cũng nhắc nhở toàn ngành: hiện tại phần lớn Layer 2 vẫn đang trong giai đoạn “phi tập trung được bảo vệ bởi quản trị”, chứ không phải “mã là luật” như Layer 1. Khi quy mô DeFi mở rộng, việc cân bằng giữa can thiệp khẩn cấp và giảm thiểu niềm tin dài hạn sẽ là bài toán mà Arbitrum và toàn bộ hệ sinh thái Layer 2 phải đối mặt.

Với người dùng phổ thông, đây có thể là một tín hiệu: khi chọn chuỗi, không chỉ nhìn TVL và phí, mà còn cần xem xét độ minh bạch quản trị và thiết kế cơ chế khẩn cấp.

Phi tập trung trong thế giới mã hóa chưa bao giờ là tuyệt đối, mà là nghệ thuật cân bằng liên tục phát triển.