#ArbitrumFreezesKelpDAOHackerETH – $71 Quyết định Đóng băng Một Triệu Đô La Chia Rẽ Crypto

Chỉ 48 giờ sau cuộc tấn công DeFi lớn nhất trong tháng Tư, mạng lưới lớp-2 lớn nhất của Ethereum, Arbitrum, đã thực hiện một trong những can thiệp gây tranh cãi nhất trong lịch sử của nó. Hội đồng An ninh của nó đã đóng băng 30.766 ETH trong một ví liên kết với vụ hack KelpDAO, trị giá khoảng 71,2 triệu đô la. Trong khi quyết định này đã làm dấy lên hy vọng phục hồi số tiền bị đánh cắp, nó cũng làm sống lại câu hỏi về giới hạn của nguyên tắc "phi tập trung".

Chuyện đã xảy ra như thế nào?

Vào thứ Bảy, giao thức restaking thanh khoản KelpDAO mất khoảng $292 triệu đô la từ cầu nối rsETH chạy qua LayerZero. Kẻ tấn công đã kích hoạt chức năng lzReceive của LayerZero bằng một tin nhắn giả, minting 116.500 rsETH mà không có sự đảm bảo nào. Những token này chiếm 18% tổng cung lưu hành.

Kẻ tấn công ngay lập tức sử dụng rsETH này làm tài sản thế chấp để rút ra 83.427 WETH và wstETH từ Aave, SparkLend, và các thị trường cho vay khác. Giao dịch được thực hiện song song trên Ethereum và Arbitrum. Aave sau đó thông báo sẽ đóng băng các thị trường rsETH, nhưng đến lúc đó, hàng triệu đô la "nợ xấu" đã tích tụ trên giao thức.

LayerZero ban đầu quy trách nhiệm vụ tấn công cho TraderTraitor, một nhóm con của nhóm Lazarus liên kết với Bắc Triều Tiên. Tuy nhiên, KelpDAO đổ lỗi cho thiết kế tin nhắn của LayerZero chỉ có một trình xác thực. Trong khi các bên tiếp tục cáo buộc lẫn nhau, các quỹ nhanh chóng phân tán trên chuỗi.

Can thiệp ngay lập tức của Arbitrum

Vào thứ Hai, Hội đồng An ninh của Arbitrum, gồm 12 thành viên được bầu, đã tổ chức một cuộc họp đặc biệt. Theo thành viên hội đồng Griff Green, quyết định "không được đưa ra một cách nhẹ nhàng," và đã diễn ra nhiều giờ thảo luận kỹ thuật, đạo đức và pháp lý. Cơ quan thực thi pháp luật cũng đã được tham khảo ý kiến.

Cuối cùng, 9 thành viên bỏ phiếu ủng hộ. Hội đồng đã chuyển ETH trong ví Arbitrum của hacker sang một "ví tạm thời đóng băng" không thể truy cập được. Các khoản rút tiền từ ví này hiện chỉ có thể thực hiện sau một cuộc bỏ phiếu mới của quản trị Arbitrum.

Arbitrum nhấn mạnh rằng, can thiệp này không ảnh hưởng đến người dùng hoặc ứng dụng bình thường nào, chỉ nhắm vào địa chỉ liên kết trực tiếp với vụ khai thác.

Việc đóng băng đã thúc đẩy các hành động của hacker.

Tin tức về việc đóng băng đã kích hoạt các thám tử trên chuỗi và cả hacker cùng hành động. Chỉ vài giờ sau khi đóng băng, các ví chính trên mạng chính Ethereum đã hoạt động.

Nhà nghiên cứu blockchain ZachXBT phát hiện khoảng 1,5 triệu đô la đã được chuyển đổi sang Bitcoin qua THORChain.
EmberCN báo cáo rằng tổng cộng 75.700 ETH, trị giá khoảng $175 triệu đô la, bắt đầu bị rút khỏi Ethereum.
PeckShield ghi nhận rằng số tiền này đã được chia nhỏ giữa các giao thức bảo mật và chuỗi chéo như THORChain, Umbra, Chainflip, và BitTorrent. Các chuyển khoản nhỏ qua Umbra trị giá khoảng 78.000 đô la.

Mục tiêu rõ ràng: trốn thoát sang các chuỗi không thể truy cập bởi Arbitrum. Việc chuyển đổi sang Bitcoin đã làm mờ dấu vết trên các hành trình Ethereum, trong khi các giao thức bảo mật như Umbra che giấu địa chỉ người nhận.

Phản ứng dây chuyền trong DeFi

Vụ tấn công Kelp không chỉ dừng lại ở một giao thức duy nhất. Bởi vì rsETH được sử dụng làm tài sản thế chấp:

Aave đã ngừng các thị trường rsETH và đặt lại các yếu tố thế chấp.
SparkLend, Fluid, và Upshift đã thực hiện các bước tương tự.
Các cá mập hoảng loạn và đóng vị thế, khiến tổng giá trị bị khóa trong Aave giảm 6,28 tỷ đô la chỉ trong một ngày.

Việc rút 53.665 ETH của Justin Sun khỏi Aave cùng thời điểm cũng làm tăng thêm căng thẳng thị trường. Mặc dù không liên quan trực tiếp, phản xạ "rút lui trước" của các nhà chơi lớn đã làm trầm trọng thêm cuộc khủng hoảng niềm tin.

Phi tập trung hay an toàn?

Hành động của Arbitrum đã chia rẽ cộng đồng.

Những người ủng hộ nói rằng việc "đứng yên" trong vụ trộm trị giá $292 triệu đô la của một tác nhân liên kết Bắc Triều Tiên sẽ là thiếu trách nhiệm. CTO của Ledger, Charles Guillemet, tóm tắt kết quả là "có thể tốt, nhưng không thoải mái." Theo ông, hội đồng không sử dụng lối thoát hiểm, mà tận dụng quyền hạn đã có trong thiết kế của giao thức. Điều này cho thấy rằng các rollup ngày nay vẫn có thể bị dừng lại bởi các quyết định quản trị.

Tuy nhiên, các nhà phê bình cho rằng "Arbitrum không còn phi tập trung nữa." Quyền đóng băng có thể được sử dụng trong một cuộc tấn công quản trị độc hại. Việc Circle không đóng băng USDC trong vụ Drift đã bị chỉ trích, và quyết định đóng băng của Arbitrum cũng gây tranh cãi không kém.

Đây là vụ trộm lớn thứ hai được cho là liên quan đến Bắc Triều Tiên trong tháng Tư. Với số tiền $285 triệu đô la bị đánh cắp từ giao thức Drift ngày 1 tháng 4, tổng thiệt hại đã vượt quá $578 triệu đô la. Với báo cáo của FBI năm 2025 ước tính các tội phạm crypto gây thiệt hại 11,37 tỷ đô la, ngành công nghiệp đang đối mặt với một "tình thế can thiệp hoặc chấp nhận mất mát" ngày càng tăng.
Chuyện gì sẽ xảy ra tiếp theo?
Số tiền đóng băng $71 triệu đô la hiện đang nằm dưới quyền kiểm soát của Arbitrum. Việc hoàn trả sẽ yêu cầu lệnh của tòa án hoặc bỏ phiếu của DAO. Quá trình pháp lý có thể mất nhiều tháng.

Trong khi đó, số tiền $175 triệu đô la do hacker giữ vẫn còn trong quá trình di chuyển. Việc thu hồi các khoản chuyển sang mạng THORChain và Bitcoin gần như không thể thực hiện. Các công ty an ninh dự đoán rằng ETH còn lại cũng sẽ bị phân nhỏ thành các phần nhỏ hơn và xử lý qua các bộ trộn quyền riêng tư.

Hashtag #ArbitrumFreezesKelpDAOHackerETH không chỉ nói về một sự đóng băng kỹ thuật. Đây là khoảnh khắc khi xung đột giữa lời hứa lớn nhất của DeFi – "tin tưởng vào mã" – và nỗi sợ lớn nhất của nó – "các hacker do nhà nước bảo trợ" – đang diễn ra. Arbitrum đã tạo ra tiền lệ bằng cách ngừng $71 triệu đô la. Câu hỏi bây giờ là: Liệu tiền lệ này có phải là một chiếc đệm an toàn bảo vệ người dùng, hay là khởi đầu cho sự kết thúc của phi tập trung?