Hacker 켈프DAO(KelpDAO) đẩy nhanh rửa tiền 290 triệu USD qua cross-chain, Arbitrum(ARB) đóng băng 71 triệu USD

***켈프DAO 해킹*** là một trong những vụ tấn công *DeFi* lớn nhất gần đây, và giờ đây số tiền mã hóa bị đánh cắp đã chính thức bước vào giai đoạn ***“rửa tiền”*** thông qua *cross-chain* và các công cụ ẩn danh. Theo dữ liệu on-chain, hàng trăm triệu USD đang được phân tán sang nhiều mạng lưới khác nhau, khiến việc truy dấu trở nên khó khăn hơn và làm dấy lên lo ngại rủi ro lan rộng trong toàn bộ thị trường tiền mã hóa.

Theo Arkham đưa tin ngày *… (giờ địa phương)*, ví được cho là do kẻ tấn công ***켈프DAO(KelpDAO)*** kiểm soát đã bắt đầu di chuyển lượng tài sản khổng lồ trên mạng ***Ethereum(ETH)***. Cụ thể, trong hai giao dịch lớn thực hiện vào thứ Ba (giờ châu Âu), khoảng 117 triệu USD (khoảng 1.721 tỷ đồng) và 58 triệu USD (khoảng 853 tỷ đồng) đã được chuyển khỏi ví chính. *bình luận: Đây thường là bước khởi đầu của chiến lược phân tán tài sản, chuẩn bị cho các thao tác che giấu phức tạp hơn sau đó.*

On-chain analyst ZachXBT cho biết một phần tài sản đã được đưa qua các cầu *cross-chain* và công cụ tăng cường quyền riêng tư. Khoảng 1,5 triệu USD (khoảng 22 tỷ đồng) đã được chuyển qua giao thức ***Thorchain*** và hoán đổi sang ***Bitcoin(BTC)***. Thêm khoảng 78.000 USD (khoảng 1,14 tỷ đồng) khác bị phát hiện luân chuyển thông qua giao thức bảo mật ***Umbra***. ***Thorchain*** từng bị nhắc tới trong các báo cáo trước đây như một trong những công cụ được nhóm tin tặc Triều Tiên *Lazarus Group* sử dụng để ***rửa tiền*** từ các vụ hack lớn.

*bình luận: Việc tận dụng kết hợp cầu cross-chain như Thorchain cùng các giao thức bảo mật như Umbra cho thấy kẻ tấn công nhiều khả năng là nhóm có kinh nghiệm, hiểu rõ cách lợi dụng các lớp hạ tầng DeFi để cản trở truy vết.*

Các động thái này được giới phân tích đánh giá là biểu hiện điển hình của giai đoạn ***“layering”*** trong quy trình ***rửa tiền***: tài sản bị đánh cắp không còn nằm tập trung ở một ví hay một mạng lưới, mà được chia nhỏ, chuyển lòng vòng qua nhiều chuỗi và nhiều giao thức khác nhau. Mục tiêu là làm mờ dấu vết giao dịch on-chain, khiến việc kết nối giữa nguồn gốc tài sản (từ vụ hack ***켈프DAO(KelpDAO)***) với điểm đến cuối cùng trở nên cực kỳ khó khăn.

Vụ ***켈프DAO(KelpDAO)*** bị tấn công được đánh giá là một trong những sự cố lớn nhất trong lĩnh vực ***DeFi*** thời gian gần đây, với tổng thiệt hại ước tính lên tới khoảng 290 triệu USD (tương đương hơn 4.267 tỷ đồng). Sự kiện này đã nhanh chóng tạo ra tâm lý tiêu cực trên thị trường, đặc biệt là đối với hệ sinh thái *staking*, *restaking* và các giao thức lợi suất phức tạp. *bình luận: Những mô hình sản phẩm tài chính càng phức tạp thì bề mặt tấn công càng rộng, và hậu quả lan truyền khi bị hack cũng thường nghiêm trọng hơn.*

Nỗi lo hiện nay không chỉ dừng ở việc mất mát tài sản trong hệ sinh thái ***켈프DAO(KelpDAO)***, mà còn là nguy cơ rủi ro ***“lan sang các chuỗi khác”*** thông qua cơ chế *cross-chain*. Khi tài sản bị đánh cắp được chuyển sang nhiều blockchain, các giao thức thanh khoản, *DEX* và cầu nối ở các hệ khác cũng có nguy cơ trở thành “trạm trung chuyển” bất đắc dĩ cho dòng tiền bẩn.

Theo thông báo ngày *… (giờ địa phương)*, mạng ***Arbitrum(ARB)*** – một giải pháp ***Layer 2*** trên ***Ethereum(ETH)*** – đã kịp thời đóng băng khoảng 71 triệu USD (khoảng 1.044 tỷ đồng) tài sản liên quan đến vụ ***켈프DAO(KelpDAO)***. Số tài sản này chủ yếu là ***ETH*** và các token tương thích nằm trên hệ sinh thái ***Arbitrum(ARB)***.

*bình luận: Việc ***Arbitrum(ARB)*** nhanh chóng phong tỏa tài sản cho thấy các mạng Layer 2 và giao thức DeFi đang dần phối hợp chủ động hơn với bên phân tích on-chain. Tuy vậy, tính tập trung của các cơ chế đóng băng này cũng tiếp tục thổi bùng tranh cãi về mức độ “phi tập trung thực sự” của DeFi.*

Mặt khác, chính các lệnh phong tỏa này cũng có thể vô tình tạo thêm áp lực buộc kẻ tấn công ***켈프DAO(KelpDAO)*** phải tăng tốc quá trình ***rửa tiền***. Khi bị chặn trên một số tuyến thanh khoản lớn, hacker có xu hướng chuyển sang các cầu *cross-chain* khó giám sát hơn, các mạng lưới ít được theo dõi, hoặc các giao thức bảo mật cao để tẩu tán số vốn còn lại. Điều này khiến quy mô và tốc độ giao dịch rải đều trên nhiều chuỗi tăng mạnh trong thời gian ngắn.

Giới chuyên gia bảo mật trong lĩnh vực ***DeFi*** nhận định, các dấu hiệu hiện tại cho thấy dòng tiền liên quan vụ ***켈프DAO(KelpDAO)*** nhiều khả năng đã bước vào giai đoạn ***ẩn giấu tài sản*** quy mô lớn. Ở giai đoạn này, mục tiêu không còn là di chuyển đơn thuần mà là “hòa tan” dòng tiền trong thanh khoản chung của thị trường thông qua:

- Giao dịch trên nhiều *DEX* khối lượng lớn,

- Tham gia các pool thanh khoản,

- Hoán đổi qua các giao thức phái sinh,

- Và cuối cùng là thoát dần sang các kênh *off-ramp* như OTC, sàn tập trung nhỏ, hoặc tiền pháp định.

*bình luận: Khi tài sản đã đi sâu vào giai đoạn ẩn giấu, việc thu hồi trở nên gần như bất khả thi nếu không có sai sót vận hành từ phía hacker, hoặc sự hợp tác mạnh mẽ từ các bên trung gian như sàn giao dịch, cầu nối, và nhà cung cấp hạ tầng thanh toán.*

Vụ ***켈프DAO(KelpDAO)*** một lần nữa làm dấy lên làn sóng cảnh báo về lỗ hổng bảo mật trong ***DeFi***, đặc biệt là ở các giao thức có TVL lớn và cấu trúc sản phẩm phức tạp. Nhiều chuyên gia cho rằng, dù khả năng ***truy vết on-chain*** ngày càng hiện đại, nhưng nếu không siết chặt khâu kiểm toán hợp đồng thông minh, thiết kế quyền quản trị, cũng như cơ chế phản ứng khẩn cấp, thì các vụ tấn công quy mô trăm triệu USD sẽ tiếp tục tái diễn.

Trong thời gian tới, hiệu quả của các biện pháp ***truy vết, đóng băng tài sản và hợp tác liên chuỗi*** sẽ là yếu tố then chốt quyết định xem bao nhiêu phần trăm trong số khoảng 290 triệu USD bị đánh cắp từ ***켈프DAO(KelpDAO)*** có cơ hội được thu hồi. Đồng thời, cách thị trường phản ứng với vụ việc này sẽ ảnh hưởng không nhỏ đến niềm tin của nhà đầu tư vào ***DeFi*** và các mô hình tài chính phi tập trung sử dụng ***Ethereum(ETH)***, ***Arbitrum(ARB)*** cùng nhiều hệ sinh thái khác.