Arbitrum đóng băng 30K ETH trong vụ hack KelpDAO khi kẻ tấn công chuyển hướng quỹ sang Bitcoin - CoinJournal

• Arbitrum đã đóng băng 30.766 ETH trước khi có thể được chuyển ra ngoài.
• Kẻ tấn công đã chuyển 75.701 ETH và bắt đầu chuyển hướng quỹ sang Bitcoin.
• Hơn $176 triệu đang được rửa qua nhiều luồng song song.

Arbitrum đã đóng băng một phần lớn số quỹ liên quan đến vụ khai thác KelpDAO, ngay cả khi kẻ tấn công đang cố gắng đẩy các tài sản còn lại ra khỏi tầm kiểm soát.

Hội đồng An ninh Arbitrum xác nhận đã đóng băng 30.766 ETH, trị giá hơn $70 triệu vào thời điểm hành động.

Các quỹ này liên quan đến một địa chỉ liên kết với kẻ tấn công KelpDAO và đã được bảo vệ trước khi có thể chuyển ra khỏi mạng lưới.

Sự can thiệp diễn ra sau khi phối hợp với cơ quan thực thi pháp luật, cho thấy các nhà chức trách có thể đã có manh mối về danh tính của kẻ khai thác.

Hội đồng An ninh Arbitrum đã thực hiện hành động khẩn cấp để đóng băng 30.766 ETH đang bị giữ trong địa chỉ trên Arbitrum One liên quan đến vụ khai thác KelpDAO. Hội đồng đã hành động dựa trên ý kiến của cơ quan thực thi pháp luật về danh tính của kẻ khai thác, và, trong mọi thời điểm,…

— Arbitrum (@arbitrum) 21 tháng 4, 2026

Cuộc đua với thời gian

Các nhà điều tra blockchain, bao gồm PeckShield, đã cảnh báo rằng kẻ tấn công đã cố gắng chuyển quỹ ra khỏi Arbitrum bằng cách sử dụng cầu nối nội bộ.

Nếu chuyển khoản đó hoàn tất, ETH có khả năng đã gia nhập một nhóm lớn các tài sản bị đánh cắp đã lưu hành trên các chuỗi khác.

Bằng cách can thiệp đúng lúc, Arbitrum đã ngăn chặn khoảng 29% số quỹ bị đánh cắp khỏi đường dây rửa tiền. Tuy nhiên, phần còn lại của các tài sản không may mắn như vậy.

Vụ khai thác KelpDAO ước tính trị giá khoảng $290 triệu, trở thành một trong những vụ vi phạm tài chính phi tập trung lớn nhất năm 2026.

Kẻ tấn công đã nhanh chóng di chuyển sau vụ khai thác ban đầu, chia nhỏ quỹ qua nhiều ví và chuỗi nhằm giảm khả năng truy vết.

Rửa tiền chuyển sang Bitcoin

Sau khi bị đóng băng, kẻ tấn công đã tăng tốc nỗ lực chuyển phần còn lại của quỹ.

Dữ liệu cho thấy khoảng 75.701 ETH, trị giá khoảng $175 triệu, đã được chuyển sang mạng chính Ethereum.

Từ đó, các quỹ bắt đầu chuyển vào Bitcoin qua các giao thức phi tập trung như THORChain, Chainflip, và Umbra Cash, cho phép hoán đổi chéo chuỗi trực tiếp mà không cần dựa vào các sàn giao dịch tập trung.

#PeckShieldAlert Kẻ khai thác @KelpDAO đã bắt đầu rửa tiền bị đánh cắp (~$176M).

Họ đã bắt đầu chuyển các lô nhỏ quỹ từ #Ethereum sang $BTC qua @THORChain, @UmbraCash, @chainflip, và @BitTorrent. pic.twitter.com/4cm8dOjTWL

— PeckShieldAlert (@PeckShieldAlert) 21 tháng 4, 2026

Các nhà phân tích PeckShield nhận thấy rằng kẻ tấn công chỉ để lại khoảng 0.7 ETH trong một số ví, đủ để trả phí giao dịch, trong khi rút hết phần còn lại vào các tuyến đường mới.

Mô hình này phản ánh một mức độ kỷ luật và lên kế hoạch cao trong hoạt động.

Một phần $176 triệu của số quỹ bị đánh cắp cũng đã được chuyển động tích cực qua các giao dịch song song.

Thay vì rửa toàn bộ trong một luồng duy nhất, kẻ tấn công dường như đang vận hành nhiều luồng cùng lúc.

Cách tiếp cận này giảm thiểu rủi ro của một điểm thất bại duy nhất và làm cho quá trình phục hồi khó khăn hơn.

Liên quan đến nhóm Lazarus của Triều Tiên nổi tiếng có liên quan đến vụ khai thác KelpDAO?

Quy mô và sự phối hợp của hoạt động đã khiến các nhà điều tra liên kết vụ khai thác này với nhóm Lazarus của Triều Tiên, đặc biệt là một nhóm phụ gọi là TraderTraitor.

Việc này dựa trên các mẫu giao dịch và kỹ thuật rửa tiền phù hợp với các hoạt động trước đó của nhóm.

Lazarus có lịch sử dài trong việc nhắm mục tiêu các nền tảng crypto và sử dụng các chiến lược chéo chuỗi phức tạp để che giấu quỹ bị đánh cắp.

Việc sử dụng cầu nối phi tập trung và chuyển đổi tài sản nhanh chóng như trong vụ KelpDAO phù hợp chặt chẽ với mô hình đó.