Hacker vụ Kelp DAO bắt đầu rửa 75.700 Ethereum(ETH), Aave(AAVE) đối mặt tới 230 triệu USD nợ xấu

Theo Cointelegraph đưa tin ngày 13 (giờ địa phương), kẻ tấn công đứng sau vụ hack khoảng 290 triệu USD của **”Kelp DAO”** đã bắt đầu chuyển lượng **”Ethereum(ETH)”** đánh cắp sang các địa chỉ ví mới, làm dấy lên lo ngại về việc mở rộng đường dây rửa tiền và gây khó khăn hơn cho quá trình truy vết, thu hồi.

Theo dữ liệu on-chain, ví được gắn cờ là liên quan tới kẻ tấn công đã chuyển khoảng 75.700 **”Ethereum(ETH)”** (tương đương khoảng 175 triệu USD) chỉ trong ngày thứ Ba, thông qua ba giao dịch lớn. Trong đó, 25.000 **”Ethereum(ETH)”** được đẩy vào một địa chỉ mới, còn 50.700 **”Ethereum(ETH)”** và 0,7 **”Ethereum(ETH)”** được chuyển sang một địa chỉ mới khác. Tính theo tỷ giá hiện tại, tổng giá trị số coin di chuyển vào khoảng 2584 tỷ đồng.

Nhà phân tích on-chain ZackXBT (ZachXBT) cho biết trên Telegram rằng lượng tài sản bị đánh cắp này đã bắt đầu luân chuyển thông qua THORChain và Umbra, hai giao thức thường được chú ý trong các chuỗi giao dịch ẩn danh. Ông cho biết đã phát hiện ít nhất 3 giao dịch liên quan tới THORChain với tổng giá trị khoảng 1,5 triệu USD, cùng khoảng 78.000 USD được chuyển đi qua Umbra.

Vụ việc khởi nguồn từ hôm thứ Bảy, khi cầu nối rsETH của **”Kelp DAO”** xây dựng trên LayerZero bị khai thác, khiến khoảng 116.500 rsETH (restaking Ethereum), tương đương 290–293 triệu USD tại thời điểm đó, bị rút cạn. LayerZero sau đó lên tiếng, cho rằng cấu trúc mạng lưới xác thực của **”Kelp DAO”** phụ thuộc vào mô hình DVN (Decentralized Verifier Network) 1/1 với một đường xác thực duy nhất, vô hình trung tạo ra một “điểm lỗi đơn” (single point of failure) – tức chỉ cần một lỗ hổng bị khai thác là toàn bộ hệ thống sẽ sụp đổ.

bình luận Vụ **”Kelp DAO”** cho thấy rủi ro kỹ thuật không chỉ đến từ smart contract mà còn từ cách thiết kế hạ tầng cross-chain và mô hình xác thực. Khi một cầu nối quản lý lượng tài sản hàng trăm triệu USD nhưng lại đặt niềm tin vào một tuyến xác thực đơn lẻ, chỉ cần một sai sót hoặc lỗ hổng cấu hình cũng đủ tạo điều kiện cho hacker rút sạch thanh khoản.

Theo sau vụ hack, làn sóng tác động đã lan nhanh sang hệ sinh thái **”DeFi”** rộng hơn, trong đó có **”Arbitrum(ARB)”** và **”Aave(AAVE)”** – những giao thức then chốt trong thị trường tài chính phi tập trung.

Ngay sau khi các dòng tiền bị đánh cắp bắt đầu di chuyển, **”Arbitrum(ARB)”** đã triển khai biện pháp khẩn cấp, đóng băng 30.766 **”Ethereum(ETH)”** bị nghi liên quan đến vụ tấn công. Hội đồng bảo mật gồm 12 thành viên của Arbitrum cho biết số tài sản này đã được chuyển vào một “ví tạm khóa”, chỉ có thể thao tác thêm thông qua cơ chế quản trị on-chain của Arbitrum. Điều này giúp ngăn chặn hacker tiếp tục xoay vòng số tài sản trên mạng Arbitrum trong ngắn hạn.

Ảnh hưởng không dừng lại ở đó. Kẻ tấn công được cho là đã dùng tài sản đánh cắp làm tài sản thế chấp để vay mượn trên các giao thức khác, trong đó **”Aave(AAVE)”** chịu ảnh hưởng đáng kể. Ước tính ban đầu, Aave ghi nhận mức thiệt hại xấp xỉ 195 triệu USD dưới dạng “nợ xấu” (bad debt). Trong báo cáo công bố ngày thứ Hai, Aave cho biết khoản nợ xấu tiềm tàng có thể dao động từ 123,7 triệu USD tới 230,1 triệu USD, tùy thuộc vào diễn biến thị trường và khả năng xử lý các vị thế có liên quan.

bình luận Với mô hình cho vay over-collateralized (thế chấp vượt giá trị vay), DeFi thường được xem là an toàn hơn so với cho vay truyền thống. Tuy nhiên, khi tài sản thế chấp vốn dĩ đã là “tài sản bẩn” từ một vụ hack, rủi ro chuyển hóa thành nợ xấu không chỉ đến từ biến động giá mà còn từ áp lực pháp lý, khả năng đóng băng tài sản và tổn thất uy tín hệ sinh thái.

Đáng chú ý, việc kẻ tấn công bắt đầu luân chuyển tiền qua các giao thức phi tập trung, không lưu ký và không yêu cầu quy trình KYC như THORChain đang khiến công tác điều tra thêm phần khó khăn. THORChain cho phép hoán đổi tài sản xuyên chuỗi một cách trực tiếp giữa những người dùng, từ **”Ethereum(ETH)”** sang **”Bitcoin(BTC)”** và nhiều tài sản khác mà không cần trung gian tập trung. Điều này giúp hacker có thể nhanh chóng “bẻ nhỏ” (fragment) dòng tiền, đổi sang nhiều token và mạng lưới khác nhau, hạn chế khả năng đóng băng tài sản bởi một thực thể đơn lẻ.

Thị trường lo ngại kịch bản tương tự vụ hack sàn Bybit năm 2025 có thể lặp lại, khi phần lớn lượng **”Ethereum(ETH)”** bị đánh cắp đã được chuyển qua THORChain rồi phân tán sang nhiều ví và tài sản khác. Nếu hacker trong vụ **”Kelp DAO”** tiếp tục sử dụng cùng một hành lang rửa tiền – THORChain, Umbra và các cầu nối phi tập trung khác – thì khả năng truy vết và thu hồi tài sản của các bên liên quan gần như sẽ giảm mạnh, đặc biệt sau khi tài sản bị đổi sang **”Bitcoin(BTC)”** hoặc các đồng có tính ẩn danh cao hơn.

Trong bối cảnh đó, Aave đã cố gắng bình ổn hệ thống bằng cách mở lại chức năng gửi **”Wrapped Ethereum(WETH)”** trên thị trường Ethereum Core V3 vào hôm thứ Ba. Dù vậy, các quỹ dự trữ WETH trên nhiều mạng như Ethereum Prime, Arbitrum, Base, Mantle và Linea vẫn đang trong trạng thái đóng băng để hạn chế lan truyền rủi ro.

Song song, tình trạng thắt chặt thanh khoản cũng bắt đầu thể hiện rõ. Nhà nghiên cứu trưởng Julio Moreno của CryptoQuant cho biết trên X vào thứ Ba rằng lãi suất vay USDt (**”Tether(USDT)”**) trên Aave đã tăng vọt từ 3% lên 14%, chạm mức cao nhất kể từ tháng 12/2024. Cú sốc niềm tin này, cộng với nguy cơ lan truyền rủi ro, đã khiến tổng giá trị tài sản khóa (**”TVL DeFi”**) trên Aave sụt giảm khoảng 10 tỷ USD sau vụ hack, xuống còn khoảng 16,4 tỷ USD.

bình luận Biến động lãi suất vay và sụt giảm TVL trên Aave là tín hiệu cho thấy người dùng đang gấp rút rút vốn, còn bên vay phải chấp nhận chi phí vốn cao hơn để duy trì vị thế. Nếu tình trạng này kéo dài, áp lực thanh khoản có thể khiến nhiều vị thế bị thanh lý dây chuyền, tạo thêm vòng xoáy bất ổn cho DeFi.

Toàn bộ diễn biến vụ **”Kelp DAO”** – từ lỗ hổng cấu trúc ở lớp hạ tầng cross-chain, cách tài sản bị đánh cắp được dùng làm tài sản thế chấp, cho tới quy trình rửa tiền qua các giao thức phi tập trung như THORChain và Umbra – đang phơi bày đồng thời hai điểm yếu then chốt của **”DeFi”**: rủi ro kỹ thuật mang tính hệ thống và rủi ro rửa tiền, tuân thủ.

Trong ngắn hạn, tốc độ di chuyển của dòng tiền và mức độ minh bạch của các đường đi on-chain sẽ là yếu tố then chốt quyết định khả năng thu hồi tài sản bị đánh cắp. Về dài hạn, vụ việc nhiều khả năng thúc đẩy các cuộc tranh luận gay gắt hơn xoay quanh chuẩn an toàn cho cầu nối cross-chain, vai trò của hội đồng bảo mật, cũng như yêu cầu siết chặt khung pháp lý chống rửa tiền đối với các giao thức **”DeFi”** phi tập trung.

Khi thị trường vẫn đang theo dõi từng bước di chuyển của số **”Ethereum(ETH)”** bị đánh cắp, vụ **”Kelp DAO”** trở thành phép thử quan trọng cho khả năng phản ứng khẩn cấp của hạ tầng **”DeFi”**, đồng thời là lời cảnh tỉnh về nhu cầu tái thiết kế các mô hình bảo mật và quản trị rủi ro trong kỷ nguyên tài chính phi tập trung.