Các tin tặc liên quan đến nhóm TraderTraitor do Triều Tiên hậu thuẫn đã rửa gần như toàn bộ 220 triệu USD tiền chưa bị phong tỏa bị đánh cắp trong vụ khai thác cầu Kelp DAO vào tháng 4/2026, qua đó chấm dứt hiệu quả nỗ lực truy hồi trực tiếp. Kẻ tấn công đã chuyển tài sản qua một mạng lưới phức tạp, bao gồm THORChain, Wasabi CoinJoin, Tornado Cash và Umbra, chỉ để lại khoảng 1,7 triệu USD có thể truy vết trong các ví gốc theo các nhà phân tích on-chain. Hoạt động rửa tiền này diễn ra sau một lỗ hổng cầu LayerZero, dẫn tới việc đánh cắp khoảng 292 triệu USD. Hội đồng Bảo mật của Arbitrum đã phong tỏa 71 triệu USD ETH, trong khi 220 triệu USD còn lại vẫn nằm trong khả năng tiếp cận của kẻ tấn công. Việc luân chuyển vốn tinh vi cho thấy năng lực ngày càng tăng của các tác nhân đe doạ được nhà nước hậu thuẫn trong việc điều hướng nhiều mạng blockchain và giao thức quyền riêng tư. Sự cố cũng làm nổi bật các lỗ hổng bảo mật cầu nối đang diễn ra khi ngành crypto đối mặt với làn sóng các cuộc tấn công lớn vào hạ tầng liên chuỗi.
TraderTraitor Group đã rửa $220M qua các mạng quyền riêng tư đa chuỗi
Vụ khai thác Kelp DAO xảy ra vào tháng 4/2026 và khiến khoảng 292 triệu USD bị đánh cắp thông qua lỗ hổng cầu LayerZero. Sau cuộc tấn công, Hội đồng Bảo mật của Arbitrum đã phong tỏa khoảng 71 triệu USD ETH, nhưng 220 triệu USD còn lại vẫn có thể truy cập đối với kẻ tấn công.
Theo các báo cáo từ Arkham Intelligence và các nhà điều tra blockchain khác, tin tặc đã chuyển tiền qua một mạng lưới rửa tiền phức tạp, bao gồm THORChain, Wasabi CoinJoin, Tornado Cash và Umbra. Hiện các nhà điều tra ước tính chỉ còn 1,7 triệu USD nằm lại trong các ví gốc.
Dữ liệu on-chain cho thấy kẻ tấn công đã chuyển hơn 75.000 ETH vào các ví mới được tạo. Từ đó, số tiền được chuyển qua nhiều nền tảng tập trung vào quyền riêng tư và các dịch vụ liên chuỗi. Các nhà phân tích cho biết hoạt động này kết hợp dịch vụ trộn Bitcoin với công cụ quyền riêng tư của Ethereum, khiến việc theo dõi giao dịch trở nên khó khăn đáng kể.
Việc sử dụng THORChain thu hút sự chú ý đặc biệt, vì giao thức này được cho là đã xử lý khối lượng bất thường cao khi các tài sản bị đánh cắp di chuyển qua các chuỗi. Các nhà nghiên cứu bảo mật liên kết vụ tấn công với TraderTraitor, một nhóm tin tặc mạng của Triều Tiên cũng được biết đến với tên UNC4899. Nhóm này trước đó từng liên quan tới nhiều vụ trộm tiền điện tử lớn.
Arbitrum đã phong tỏa $71M trong các thủ tục pháp lý
Khoản tiền bị phong tỏa vẫn có thể là một nguồn để thu hồi. Đợt phong tỏa của Arbitrum đã khóa khoảng 71 triệu USD ETH ngay sau cuộc tấn công. Tuy nhiên, các tài sản đó hiện bị mắc kẹt trong các thủ tục tố tụng pháp lý đang diễn ra.
Các gia đình có phán quyết liên quan đến khủng bố chống lại Triều Tiên đã nộp đơn yêu cầu liên quan tới các quỹ bị phong tỏa. Vì vậy, kết quả cuối cùng vẫn chưa chắc chắn.
Kelp DAO đã hoàn tất khắc phục người dùng và di chuyển sang Chainlink CCIP
Kelp DAO đã hoàn tất quy trình khắc phục cho người dùng sau vụ khai thác. Giao thức đã di chuyển hoạt động bridging rsETH sang Chainlink CCIP và làm việc với các đối tác trong ngành để khôi phục cho những người dùng bị ảnh hưởng.
Sự cố mang lại những bài học quan trọng cho cả nhà phát triển và nhà đầu tư. Trong vài tháng qua, ngành crypto đã chứng kiến làn sóng các cuộc tấn công lớn nhắm vào cầu nối, nhà cung cấp hạ tầng và các giao thức DeFi. Các sự cố liên quan đến Radiant, Wormhole và Kelp DAO đã phơi bày các điểm yếu bảo mật nghiêm trọng.
Với nhà phát triển, cuộc tấn công nhấn mạnh nhu cầu về bảo mật cầu nối mạnh hơn, các hệ thống xác thực nhiều lớp và công cụ giám sát được cải thiện. Với nhà đầu tư, vụ khai thác cho thấy các rủi ro ngày càng gia tăng gắn với hạ tầng liên chuỗi.
Sự tham gia ngày càng tăng của các nhóm được nhà nước bảo trợ cũng làm dấy lên lo ngại về nỗ lực thu hồi trong tương lai. Khi tài sản bị đánh cắp được chuyển qua nhiều chuỗi và dịch vụ quyền riêng tư, việc thu hồi tiền sẽ trở nên khó khăn hơn đáng kể.
Câu hỏi thường gặp (FAQ)
Điều gì đã xảy ra trong vụ khai thác Kelp DAO vào tháng 4/2026?
Vụ khai thác Kelp DAO xảy ra vào tháng 4/2026 thông qua lỗ hổng cầu LayerZero, dẫn tới việc đánh cắp khoảng 292 triệu USD. Hội đồng Bảo mật của Arbitrum đã phong tỏa khoảng 71 triệu USD ETH, trong khi 220 triệu USD còn lại vẫn có thể tiếp cận bởi nhóm TraderTraitor của Triều Tiên (cũng được biết đến là UNC4899).
Tin tặc đã rửa tiền Kelp DAO bị đánh cắp như thế nào?
Tin tặc đã chuyển tiền qua một mạng lưới rửa tiền phức tạp, bao gồm THORChain, Wasabi CoinJoin, Tornado Cash và Umbra. Dữ liệu on-chain cho thấy kẻ tấn công đã chuyển hơn 75.000 ETH vào các ví mới được tạo và kết hợp dịch vụ trộn Bitcoin với công cụ quyền riêng tư của Ethereum. Chỉ khoảng 1,7 triệu USD vẫn có thể truy vết trong các ví gốc.
Trạng thái của 71 triệu USD bị Arbitrum phong tỏa là gì?
Số ETH trị giá 71 triệu USD bị Hội đồng Bảo mật của Arbitrum phong tỏa ngay sau cuộc tấn công vẫn bị mắc kẹt trong các thủ tục pháp lý đang diễn ra. Các gia đình có phán quyết liên quan đến khủng bố chống lại Triều Tiên đã nộp đơn yêu cầu liên quan tới các quỹ bị phong tỏa, và kết quả cuối cùng vẫn chưa chắc chắn.
