#Gate13周年现场直击

Sự khai thác xảy ra vào ngày 18 tháng 4 năm 2026, khoảng 17:35 UTC, nhằm vào cầu chéo chuỗi rsETH do KelpDAO vận hành dựa trên LayerZero.

Tổng số tiền bị đánh cắp
Kẻ tấn công đã rút 116.500 rsETH, chiếm khoảng 18% tổng cung lưu hành của rsETH là 630.000 token, trị giá khoảng $292 triệu vào thời điểm khai thác. Đây hiện đã được xác nhận là vụ hack DeFi lớn nhất trong năm 2026.

Cách thực hiện cuộc tấn công:

Những kẻ tấn công, whose ví đã được nạp sẵn qua Tornado Cash, đã gửi một tin nhắn LayerZero giả mạo (nonce 308) tới bộ điều hợp OFT của cầu. Điều này lừa hợp đồng phát hành rsETH thật mà không đốt token tương ứng trên chuỗi nguồn. Trong vòng vài phút, kẻ tấn công đã chuyển các token bị đánh cắp vào các giao thức cho vay như Aave. Hacker sau đó dùng số tiền bị đánh cắp làm tài sản thế chấp để vay hơn $236 triệu WETH và các tài sản khác.
Cuộc tấn công khai thác một cấu hình mạng xác thực DVN (Data Verification Network) yếu trên tuyến đường, tạo ra một điểm yếu duy nhất.

Phân phối quỹ qua các chuỗi:

Kẻ tấn công đã chuyển một phần sang ETH và điều hướng quỹ qua các chuỗi khoảng $178 triệu trên mạng chính Ethereum và khoảng $100 triệu sang Arbitrum.

Hành động phong tỏa khẩn cấp của Arbitrum:

Hội đồng Bảo mật Arbitrum đã thu giữ 30.766 ETH từ một địa chỉ trên Arbitrum One liên quan đến vụ khai thác và chuyển vào một ví trung gian bị phong tỏa. Hành động này được thực hiện mà không làm gián đoạn mạng hoặc ảnh hưởng đến hoạt động của người dùng. Số tiền này sẽ giữ nguyên trạng trừ khi chính quyền phê duyệt các bước tiếp theo.
Việc chuyển khoản hoàn tất lúc 23:26 ET ngày 20 tháng 4. Số tiền bị đánh cắp không còn nằm dưới quyền kiểm soát của địa chỉ ban đầu nắm giữ chúng.
Hội đồng Bảo mật, gồm 12 thành viên được bầu chọn, giữ chìa khóa của ví đa chữ ký 9/12, đã sử dụng quyền khẩn cấp để thực thi lệnh phong tỏa. Những quỹ này không thể di chuyển lại mà không có bỏ phiếu chính thức của chính quyền Arbitrum.

Tiền đã khôi phục so với số còn lại bị đánh cắp:

Hội đồng Bảo mật Arbitrum đã phong tỏa 30.766 ETH ($71,15 triệu) khoảng 29% số ETH mà kẻ khai thác đã tích trữ qua các chuỗi.
Sau lệnh phong tỏa của Arbitrum, hacker KelpDAO đã chuyển toàn bộ 75.701 ETH ($175 triệu) còn lại trên Ethereum và bắt đầu rửa tiền.
Nhà điều tra on-chain ZachXBT báo cáo rằng các kẻ tấn công đã chuyển 1,5 triệu USD từ mạng chính Ethereum sang Bitcoin qua Thorchain, và thêm 78.000 USD qua Umbra.

Ai đứng sau vụ hack:

LayerZero quy trách nhiệm vụ tấn công cho nhóm Lazarus của Bắc Triều Tiên. Các kẻ tấn công bị cáo buộc đã xâm nhập các nút RPC trong mạng LayerZero, làm nhiễm độc hai nút trong khi tấn công DDoS vào nút thứ ba.

Trạng thái ví / Danh sách đen:

Tính đến ngày 20 tháng 4, ETH đã được chuyển vào ví trung gian bị phong tỏa, chặn quyền truy cập của kẻ khai thác. Mọi chuyển động tiếp theo của số tiền này sẽ cần sự phê duyệt qua quy trình quản trị của Arbitrum phối hợp với các cơ quan liên quan.

Phản ứng thị trường DeFi:

Tổng giá trị bị khóa trong DeFi giảm từ 26,4 tỷ USD vào ngày 18 tháng 4 xuống gần $20 tỷ vào sáng Chủ nhật. Token AAVE giảm hơn 18% khi các nhà gửi tiền vội vàng rút tiền.
Aave đã phong tỏa các thị trường rsETH trên V3 và V4 trong vòng vài giờ. SparkLend và Fluid cũng đã phong tỏa các thị trường rsETH của họ.
Phản ứng giá token ARB
ARB giao dịch ở mức $0.124 tại thời điểm công bố, giảm 2,5% trong 24 giờ qua.

Thông cáo chính thức của KelpDAO:

KelpDAO cảm ơn Hội đồng Bảo mật Arbitrum và các bên liên quan trong hệ sinh thái, cho biết nhóm đã làm việc chặt chẽ và xây dựng cùng các thành viên Hội đồng Bảo mật trong hai ngày để thực hiện can thiệp. Họ ghi nhận những nỗ lực đặc biệt của SEAL 911 thuộc Liên minh Bảo mật, whose phối hợp đã đóng vai trò then chốt trong việc làm rõ phản ứng.
KelpDAO cho biết họ đang phối hợp với các đối tác trong hệ sinh thái về quỹ phục hồi và cân nhắc các bước tiếp theo về việc mở lại hoạt động, chia sẻ tổn thất, và phối hợp pháp lý với các bên liên quan bị ảnh hưởng.
Thông cáo chính thức của Arbitrum
Hội đồng Bảo mật Arbitrum tuyên bố: "Hội đồng Bảo mật đã hành động dựa trên ý kiến của cơ quan thực thi pháp luật về danh tính của kẻ khai thác, và luôn cân nhắc cam kết của mình đối với an ninh và tính toàn vẹn của cộng đồng Arbitrum mà không ảnh hưởng đến người dùng hoặc ứng dụng của Arbitrum."
Hội đồng cũng nói rằng họ đã chọn cẩn thận một hướng đi nhằm cô lập vấn đề mà không làm gián đoạn hoạt động bình thường của mạng.

Cảm xúc cộng đồng & mạng xã hội:

Phản ứng rất chia rẽ.
Chuyên gia an ninh on-chain Taylor Monahan mô tả lệnh phong tỏa như một hành động của DeFi chống lại hacker Bắc Triều Tiên, gọi đó là chiến thắng cho ngành. Hacker white hat và sáng lập Liên minh Bảo mật samczsun gọi đây là một ngày quan trọng cho các nạn nhân bị hack và hy vọng ngành đã nhận ra rằng họ có thể xây dựng các sản phẩm hữu ích đồng thời bảo vệ người dùng.

Các nhà phê bình nêu ra các mối lo ngại sâu hơn về tập trung quyền lực trong quản trị. Một người dùng viết rằng hành động này đã phơi bày Arbitrum như một ví multisig có thể đơn phương phong tỏa quỹ. Người khác nhận xét: "Khi điều quan trọng nhất, quản trị lại vượt qua phân quyền."

Thành viên Hội đồng Bảo mật Arbitrum Griff Green bảo vệ quyết định này, viết: "Chúng tôi không đưa ra quyết định này một cách nhẹ nhàng, đã có vô số giờ tranh luận, kỹ thuật, thực tiễn, đạo đức và chính trị. Nhưng tất cả những gì xấu xa cần để chiến thắng là những người tốt không làm gì cả."
Tranh chấp giữa LayerZero và KelpDAO
Sau vụ việc, đã nảy sinh tranh cãi giữa LayerZero và KelpDAO về cấu hình bảo mật, mỗi bên đều chỉ trích các tiêu chuẩn tài liệu khác nhau về cách thiết lập giao thức.

Bài học bảo mật cho người dùng và giao thức:
Vụ việc đã phơi bày cách các cầu nối và oracle liên kết có thể làm tăng một điểm yếu thành một cú sốc toàn hệ sinh thái.
Các bài học chính được cộng đồng và các nhà phát triển rút ra:
Không bao giờ dựa vào cấu hình DVN 1-đến-1 cho truyền thông chéo chuỗi, luôn sử dụng cấu hình đa xác thực
Chức năng tạm dừng khẩn cấp phải được thiết lập và kiểm tra trước khi xảy ra sự cố
KelpDAO đã phản ứng bằng cách sử dụng ví đa chữ ký tạm dừng khẩn cấp để phong tỏa các hợp đồng rsETH chính khoảng 46 phút sau cuộc tấn công ban đầu, chặn các rút tiền bổ sung ước tính hơn $100 triệu
Cấu hình cầu nối chéo chuỗi phải được kiểm tra định kỳ bởi các kiểm toán viên độc lập
Các giao thức cần xem xét các phụ thuộc oracle và rủi ro thế chấp trong các thị trường cho vay

Tình trạng điều tra (tính đến ngày 22 tháng 4, 2026)

Phong tỏa Arbitrum: Hoàn tất. 30.766 ETH bị khóa trong ví do chính quyền kiểm soát

Cơ quan thực thi pháp luật: Đang tích cực tham gia, cung cấp thông tin danh tính cho Hội đồng Bảo mật Arbitrum

Nhóm Lazarus (Bắc Triều Tiên): Được xác định là thủ phạm khả năng cao bởi LayerZero

Số còn lại ~$175 triệu trên mạng chính Ethereum: Vẫn đang theo dõi trên chuỗi, đang rửa tiền

Quỹ phục hồi KelpDAO: Đang phối hợp với các đối tác trong hệ sinh thái

Bỏ phiếu quản trị Arbitrum: Đang chờ quyết định cuối cùng về số quỹ bị phong tỏa

Tranh luận về tập trung quyền lực: Câu hỏi lớn hơn
Sự kiện này đã thổi bùng lại cuộc tranh luận lâu đời nhất trong crypto: Liệu một blockchain có thể thực sự phi tập trung nếu tài sản của nó có thể bị phong tỏa? Sự can thiệp của KelpDAO chứng minh rằng trên các mạng Layer 2 như Arbitrum, quyền sở hữu tài sản chỉ là tuyệt đối theo các cơ chế khẩn cấp của mã nguồn.

Những người ủng hộ mô tả hành động này là cần thiết để bảo vệ người dùng và duy trì ổn định mạng. Các nhà phê bình lập luận rằng điều này cho thấy có các cơ chế kiểm soát tập trung trong các hệ thống Layer-2, đặt ra câu hỏi về tính hợp lệ của quyền sở hữu không cần phép.

Rủi ro cho các giao thức tương tự:

rsETH được triển khai trên hơn 20 mạng bao gồm Base, Arbitrum, Linea, Blast, Mantle, và Scroll. Với số dự trữ cầu đã bị rút, các holder trên các mạng không phải Ethereum đang đối mặt với câu hỏi liệu token của họ có đủ backing hay không, tạo ra một vòng phản hồi nơi các khoản rút tiền hoảng loạn trên Layer 2 gây áp lực lên nguồn cung Ethereum không bị ảnh hưởng.
Hơn $500 triệu đã bị rút qua các vụ khai thác Drift và Kelp chỉ trong hơn hai tuần, những gì từng được xem là các vụ vi phạm riêng lẻ giờ đây trông giống như một chiến dịch kéo dài.

Triển vọng thị trường cuối cùng:

Vụ khai thác KelpDAO là một cảnh báo cấu trúc cho toàn bộ ngành restaking thanh khoản và truyền thông chéo chuỗi. Sự can thiệp của Hội đồng Bảo mật Arbitrum, chưa từng có về quy mô và phương pháp, đã phần nào hạn chế thiệt hại, nhưng phần lớn số tiền bị đánh cắp vẫn còn đang di chuyển. Sự kiện này đã thúc đẩy nhu cầu toàn ngành về cấu hình cầu nối đa xác thực, tiêu chuẩn oracle mạnh mẽ hơn, và khung quản trị khẩn cấp rõ ràng hơn. Niềm tin vào các cầu nối DeFi sẽ cần các nâng cấp bảo mật đáng kể trước khi có thể hoàn toàn phục hồi.

#Gate13周年
#CreatorCarvinal
#ArbitrumFreezesKelpDAOHackerETH