Hội đồng Bảo mật Arbitrum đóng băng 71 triệu USDT trong ETH của hacker liên quan đến vụ khai thác KelpDAO

#ArbitrumFreezesKelpDAOHackerETH

Hội đồng Bảo mật Arbitrum đã thực hiện một can thiệp khẩn cấp chưa từng có, đóng băng 30.766 ETH trị giá khoảng 71 triệu USDT liên quan đến vụ khai thác KelpDAO xảy ra vào ngày 18 tháng 4 năm 2026. Hành động quyết đoán này là một trong những lần đóng băng quỹ lớn nhất trong lịch sử DeFi và đánh dấu một bước phát triển quan trọng trong phản ứng liên tục đối với vụ tấn công cầu rsETH trị giá 292 triệu USDT đã gây chấn động hệ sinh thái Ethereum Layer 2.

Bối cảnh vụ khai thác: Tấn công cầu KelpDAO

Vụ khai thác ban đầu nhắm vào cầu rsETH của KelpDAO sử dụng công nghệ LayerZero vào ngày 18 tháng 4 năm 2026, dẫn đến thiệt hại khoảng 292 triệu USDT. Kẻ tấn công thực hiện một hoạt động tinh vi bằng cách tạo ra các token rsETH không được đảm bảo và sau đó rút hơn 200 triệu USDT dưới dạng WETH thực từ các giao thức cho vay Aave trước khi thị trường có thể thực hiện các biện pháp bảo vệ như đóng băng.

Phương pháp tấn công khai thác lỗ hổng trong hạ tầng cầu liên chuỗi, với kẻ tấn công gửi vào các rsETH giả làm thế chấp trên các thị trường Aave V3 và V4 trên cả mạng chính Ethereum và Arbitrum. Cụ thể, kẻ khai thác vay 52.834 WETH trên Ethereum và 29.782 WETH cộng 821 wstETH trên Arbitrum, khiến Aave phải gánh khoản nợ xấu từ 124 triệu đến 230 triệu USDT theo mô hình của giao thức.

Các cuộc điều tra an ninh đã xác định vụ tấn công do nhóm Lazarus của Bắc Triều Tiên thực hiện, nhắm vào hạ tầng DVN của LayerZero Labs bằng cách đầu độc các nút RPC downstream. Kẻ tấn công đã xâm nhập vào hai nút RPC độc lập chạy trên các cụm riêng biệt, cho phép thao túng quá trình xác thực cầu mà không cần kết nối trực tiếp giữa các hệ thống bị xâm phạm.

Phản ứng khẩn cấp của Arbitrum

Hội đồng Bảo mật Arbitrum đã hành động vào ngày 21 tháng 4 năm 2026, thực hiện các biện pháp kỹ thuật khẩn cấp để đóng băng 30.766 ETH trong địa chỉ của kẻ khai thác trên Arbitrum One. Hành động này đã chuyển các quỹ vào một ví trung gian do cơ chế quản trị kiểm soát, ngăn chặn kẻ tấn công ban đầu truy cập hoặc chuyển nhượng các tài sản bị tịch thu.

Điều quan trọng trong hành động này là sự phối hợp với các cơ quan thực thi pháp luật về danh tính và nguồn gốc của kẻ tấn công. Hội đồng Bảo mật nhấn mạnh rằng việc đóng băng được thực hiện mà không ảnh hưởng đến các người dùng hoặc ứng dụng khác trên mạng Arbitrum, duy trì tính toàn vẹn của mạng lưới trong khi xử lý mối đe dọa an ninh cụ thể.

Phương pháp kỹ thuật liên quan đến việc di chuyển quỹ đến nơi an toàn mà không làm ảnh hưởng đến trạng thái chuỗi hoặc gây gián đoạn hoạt động hợp pháp của người dùng. Việc thực thi chính xác này thể hiện khả năng của Hội đồng Bảo mật trong việc thực hiện các can thiệp nhắm mục tiêu trong khi vẫn duy trì hoạt động của mạng phi tập trung cho các bên không liên quan.

Ảnh hưởng đến phân quyền và phản ứng cộng đồng

Việc đóng băng đã tạo ra nhiều tranh luận trong cộng đồng tiền mã hóa về cân bằng giữa các can thiệp an ninh và nguyên tắc phân quyền. Trong khi hành động này ngăn chặn thiệt hại thêm và bảo vệ quỹ người dùng, nó cũng đặt ra câu hỏi về mức độ kiểm soát tập trung trong các hệ thống vốn dĩ mang tính phi tập trung.

Các nhà quan sát trong ngành đã so sánh hành động của Arbitrum trong việc đóng băng quỹ bị đánh cắp liên quan đến hacker nhà nước với các vụ đóng băng tài sản khác gần đây. Đặc biệt, cộng đồng đã so sánh hành động của Arbitrum với các trường hợp đóng băng tài sản có thể sai trái, nhấn mạnh tầm quan trọng của quy trình hợp lệ và lý do minh bạch cho các biện pháp như vậy.

Chuyên gia an ninh chuỗi khối Taylor Monahan mô tả việc đóng băng như một hành động cộng đồng "rugging DPRK 70 triệu USDT," coi đây là sự phòng vệ của cộng đồng chống lại khai thác có nhà nước tài trợ chứ không phải kiểm soát trung ương tùy tiện. Quan điểm này nhấn mạnh ý định bảo vệ đằng sau hành động của Hội đồng Bảo mật.

Tình trạng hiện tại và các bước tiếp theo

30.766 ETH bị đóng băng vẫn được giữ an toàn trong ví trung gian do cơ chế quản trị kiểm soát, không thể truy cập bởi kẻ khai thác ban đầu. Các quỹ này sẽ tiếp tục bị khóa cho đến khi cơ chế quản trị của Arbitrum, phối hợp với các cơ quan pháp luật liên quan, quyết định cách xử lý phù hợp.

Cơ chế giải phóng dựa trên quản trị này đảm bảo việc thu hồi quỹ diễn ra theo quy trình ra quyết định đã thiết lập thay vì hành động hành chính đơn phương. Sự tham gia của các cơ quan pháp luật gợi ý các khả năng hoàn trả nạn nhân hoặc phân phối theo pháp luật, mặc dù các kết quả cụ thể vẫn đang chờ quyết định của quản trị.

Ảnh hưởng đến hệ sinh thái và quản lý rủi ro

Vụ khai thác KelpDAO và phản ứng của Arbitrum đã thúc đẩy việc đánh giá lại toàn diện về an ninh cầu liên chuỗi trong các giao thức DeFi. Aave đã đóng băng các thị trường rsETH trên cả V3 và V4, với nhà sáng lập Stani Kulechov cho biết cộng đồng đang thảo luận về việc loại bỏ vĩnh viễn sau khi kết thúc phản ứng khủng hoảng ngay lập tức.

Sự cố này làm nổi bật các rủi ro hệ thống trong kiến trúc DeFi phụ thuộc vào cầu, nơi các lỗ hổng trong hạ tầng liên chuỗi có thể gây ra chuỗi phản ứng lan rộng qua nhiều giao thức và chuỗi khác nhau. Khả năng can thiệp và đóng băng tài sản của Arbitrum thể hiện giá trị cũng như độ phức tạp của các cơ chế của Hội đồng Bảo mật trong hệ sinh thái Layer 2.

Các cân nhắc kỹ thuật và quản trị

Việc Arbitrum can thiệp chiếm khoảng 25% tổng số tiền thu được từ vụ khai thác, cho thấy rằng mặc dù đáng kể, việc đóng băng chỉ chiếm một phần nhỏ trong số quỹ bị đánh cắp. Các tài sản còn lại có khả năng phân bổ trên các chuỗi và giao thức khác, làm phức tạp quá trình phục hồi toàn diện.

Khả năng kỹ thuật của Hội đồng Bảo mật trong việc thực hiện các lệnh đóng băng chính xác mà không gây gián đoạn mạng lưới thể hiện một hạ tầng phản ứng khẩn cấp tinh vi. Khả năng này cân bằng giữa việc can thiệp nhanh chóng và duy trì các đặc tính phi tập trung của mạng, mặc dù các cơ chế như vậy về cơ bản tạo ra các yếu tố tập trung hóa.

Bối cảnh ngành rộng hơn

Vụ khai thác KelpDAO diễn ra trong bối cảnh các mối đe dọa an ninh ngày càng gia tăng trong thị trường tiền mã hóa, với nhiều vụ tấn công nổi bật do các tác nhân đe dọa tinh vi thực hiện. Việc nhóm Lazarus được xác định rõ ràng nhấn mạnh các mục tiêu có nhà nước trong việc tấn công hạ tầng DeFi, nâng cao yêu cầu về an ninh vượt ra ngoài các mô hình tội phạm thông thường.

Phản ứng của Arbitrum có thể tạo tiền lệ cho các can thiệp an ninh trong tương lai, ảnh hưởng đến cách các mạng Layer 2 và giao thức DeFi khác xây dựng khả năng phản ứng khẩn cấp. Cân bằng giữa phản ứng nhanh và quản trị phi tập trung vẫn là một lĩnh vực phát triển trong thiết kế giao thức.

Kết luận

Việc Arbitrum đóng băng 30.766 ETH liên quan đến vụ khai thác KelpDAO là một bước ngoặt trong phản ứng an ninh của DeFi. Trong khi ngăn chặn thiệt hại tức thì và thể hiện khả năng kỹ thuật trong việc thu hồi tài sản, hành động này đã khơi mào các cuộc tranh luận quan trọng về các đánh đổi trong phân quyền trong các tình huống khẩn cấp. Việc giữ quỹ bị đóng băng trong tay quản trị để chờ phối hợp pháp lý cung cấp một lộ trình có cấu trúc cho khả năng phục hồi, mặc dù các vấn đề lớn hơn về an ninh cầu và rủi ro liên chuỗi vẫn là những thách thức còn tồn tại của hệ sinh thái.