Arbitrum đóng băng 30K ETH trong vụ hack KelpDAO khi kẻ tấn công chuyển hướng quỹ sang Bitcoin - CoinJournal

• Arbitrum đã đóng băng 30.766 ETH trước khi có thể được chuyển ra ngoài.
• Tên tội phạm đã chuyển 75.701 ETH và bắt đầu chuyển hướng quỹ sang Bitcoin.
• Hơn $176 triệu đô la đang được rửa qua nhiều luồng song song.

Arbitrum đã đóng băng một phần lớn số tiền liên quan đến vụ khai thác KelpDAO, ngay cả khi kẻ tấn công đang cố gắng đẩy các tài sản còn lại ra khỏi tầm với.

Hội đồng An ninh Arbitrum xác nhận đã đóng băng 30.766 ETH, trị giá hơn $70 triệu đô la vào thời điểm hành động.

Số tiền này liên quan đến một địa chỉ liên kết với kẻ tấn công KelpDAO và đã được bảo vệ trước khi có thể chuyển ra khỏi mạng.

Sự can thiệp diễn ra sau khi phối hợp với các cơ quan thực thi pháp luật, cho thấy chính quyền có thể đã có manh mối về danh tính của kẻ khai thác.

Hội đồng An ninh Arbitrum đã thực hiện hành động khẩn cấp để đóng băng 30.766 ETH đang bị giữ trong địa chỉ trên Arbitrum One liên quan đến vụ khai thác KelpDAO. Hội đồng đã hành động dựa trên ý kiến của các cơ quan thực thi pháp luật về danh tính của kẻ khai thác, và, trong mọi thời điểm,…

— Arbitrum (@arbitrum) 21 tháng 4, 2026

Cuộc đua với thời gian

Các nhà điều tra blockchain, bao gồm PeckShield, đã cảnh báo rằng kẻ tấn công đã cố gắng chuyển tiền khỏi Arbitrum bằng cách sử dụng cầu nối nội bộ.

Nếu chuyển khoản đó thành công, ETH có thể đã gia nhập một nhóm lớn hơn nhiều các tài sản bị đánh cắp đã lưu hành trên các chuỗi khác.

Bằng cách can thiệp đúng lúc, Arbitrum đã ngăn chặn khoảng 29% số tiền bị đánh cắp khỏi đường dây rửa tiền. Tuy nhiên, phần còn lại của các tài sản không may mắn như vậy.

Vụ khai thác KelpDAO ước tính trị giá khoảng $290 triệu đô la, trở thành một trong những vụ vi phạm tài chính phi tập trung lớn nhất năm 2026.

Sau vụ khai thác ban đầu, kẻ tấn công đã nhanh chóng chia nhỏ quỹ qua nhiều ví và chuỗi khác nhau nhằm giảm khả năng truy vết.

Chuyển tiền sang Bitcoin để rửa tiền

Sau khi bị đóng băng, kẻ tấn công đã tăng tốc nỗ lực chuyển phần còn lại của quỹ.

Dữ liệu cho thấy khoảng 75.701 ETH, trị giá khoảng $175 triệu đô la, đã được chuyển sang mạng chính Ethereum.

Từ đó, các quỹ bắt đầu chuyển sang Bitcoin qua các giao thức phi tập trung như THORChain, Chainflip, và Umbra Cash, cho phép hoán đổi chéo chuỗi trực tiếp mà không cần dựa vào các sàn trung tâm.

#PeckShieldAlert Kẻ khai thác KelpDAO đã bắt đầu rửa tiền số tiền bị đánh cắp (~$176M).

Họ đã bắt đầu cầu nối các lô nhỏ quỹ từ #Ethereum sang $BTC qua @THORChain, @UmbraCash, @chainflip, và @BitTorrent. pic.twitter.com/4cm8dOjTWL

— PeckShieldAlert (@PeckShieldAlert) 21 tháng 4, 2026

Các nhà phân tích PeckShield nhận thấy rằng kẻ tấn công chỉ để lại khoảng 0.7 ETH trong một số ví, đủ để trả phí giao dịch, trong khi rút hết phần còn lại vào các tuyến đường mới.

Mô hình này phản ánh một mức độ kỷ luật và lên kế hoạch cao trong hoạt động.

Một phần khác trị giá khoảng $176 triệu đô la của số tiền bị đánh cắp cũng đã được chuyển động tích cực qua các giao dịch song song.

Thay vì rửa toàn bộ trong một luồng duy nhất, kẻ tấn công dường như đang vận hành nhiều luồng cùng lúc.

Cách tiếp cận này giảm thiểu rủi ro của một điểm thất bại duy nhất và làm cho việc phục hồi trở nên khó khăn hơn.

Liên quan đến nhóm Lazarus của Triều Tiên nổi tiếng có liên quan đến vụ khai thác KelpDAO?

Quy mô và sự phối hợp của hoạt động đã khiến các nhà điều tra liên kết vụ khai thác này với nhóm Lazarus của Triều Tiên, đặc biệt là một nhóm phụ gọi là TraderTraitor.

Việc này dựa trên các mẫu giao dịch và kỹ thuật rửa tiền phù hợp với các hoạt động trước đó của nhóm.

Lazarus có lịch sử dài trong việc nhắm mục tiêu các nền tảng crypto và sử dụng các chiến lược chéo chuỗi phức tạp để che giấu các khoản tiền bị đánh cắp.

Việc sử dụng cầu nối phi tập trung và chuyển đổi tài sản nhanh chóng như trong vụ KelpDAO phù hợp chặt chẽ với mô hình đó.