Các hacker liên kết với nhóm Lazarus của Triều Tiên đang tích cực rửa 290 triệu USD tiền mã hóa bị đánh cắp từ giao thức DeFi KelpDAO, di chuyển tiền qua các mạng Ethereum và Bitcoin.
Dữ liệu on-chain từ các nhà phân tích bao gồm ZachXBT và các công ty như Arkham và PeckShield đã xác nhận các chuyển động tiền tệ, bắt đầu trong giờ giao dịch châu Âu vào thứ Ba.
Việc rửa tiền bao gồm hai lần chuyển khoản lớn trị giá 117 triệu USD và 58 triệu USD trên Ethereum, với ít nhất 1,5 triệu USD được cầu nối sang Bitcoin thông qua THORChain và các khoản nhỏ hơn được chuyển qua giao thức bảo mật Umbra, theo các điều tra viên blockchain.
Vụ khai thác này, một trong những vụ lớn nhất vào năm 2026, làm nổi bật các rủi ro bảo mật dai dẳng trong DeFi và đã thúc đẩy việc đóng băng một phần số tiền, gây áp lực lên những kẻ tấn công phải di chuyển 175 triệu USD còn lại trước khi nó có thể được bảo vệ.
Đi sâu hơn
Sự cố bắt đầu vào ngày 18 tháng 4 khi những kẻ tấn công khai thác giao thức liquid restaking KelpDAO, rút 116.500 mã thông báo rsETH trị giá khoảng 290 triệu USD. Vector tấn công liên quan đến việc xâm nhập các máy chủ trong giao thức nhắn tin LayerZero, mà KelpDAO sử dụng để liên lạc xuyên chuỗi. Bằng cách nạp các tin nhắn giả mạo, các hacker đã cho phép chuyển tiền bất hợp pháp. Một cuộc tranh chấp công khai đã nổ ra kể từ đó, với việc LayerZero đổ lỗi cho thiết lập bảo mật "DVN đơn lẻ" cụ thể của KelpDAO, một đặc điểm mà KelpDAO đã bác bỏ.
Sau vụ trộm, những kẻ tấn công đã bắt đầu một hoạt động rửa tiền tinh vi. Các kỹ thuật — sử dụng các cầu nối xuyên chuỗi như THORChain và các công cụ bảo mật như Umbra — nhất quán với các phương pháp trước đây được cho là của Nhóm Lazarus. Hoạt động này liên quan đến việc chia nhỏ tiền và chuyển chúng qua nhiều kênh để che giấu nguồn gốc của chúng.
Trong một can thiệp đáng kể, Hội đồng Bảo an Arbitrum, hành động theo thông tin từ cơ quan thực thi pháp luật, đã đóng băng 30.766 ETH (trị giá hơn 71 triệu USD) liên quan đến vụ khai thác trước khi nó có thể được kết nối khỏi mạng của mình. Hành động này, mặc dù được một số người khen ngợi vì đã thu hồi được một phần đáng kể số tiền, cũng làm dấy lên cuộc tranh luận về mức độ tập trung và quyền lực khẩn cấp trong các hệ sinh thái lớp 2.
Tiếp theo là gì
Việc đóng băng một phần dường như đã buộc những kẻ tấn công phải ra tay, đẩy nhanh nỗ lực rửa 175 triệu USD còn lại. Dữ liệu on-chain cho thấy tiền đang được tích cực chuyển từ Ethereum sang Bitcoin, cho thấy một cuộc chạy đua để di chuyển tài sản ra ngoài tầm với của các lệnh đóng băng tập trung.
Các điều tra viên đang theo dõi chặt chẽ dòng tiền đến các ví liên quan đến phân nhóm của Nhóm Lazarus được gọi là TraderTraitor. Quy mô của vụ hack và các kỹ thuật rửa tiền tinh vi có khả năng kích hoạt phản ứng mạnh mẽ từ các cơ quan quản lý, những người có thể tăng cường giám sát các cầu nối xuyên chuỗi và máy trộn bảo mật như các kênh chính cho dòng tiền bất hợp pháp. Sự cố này đóng vai trò như một bài kiểm tra quan trọng đối với cả khả năng truy vết on-chain của cơ quan thực thi pháp luật và khả năng của cộng đồng DeFi trong việc ứng phó và giảm thiểu các vi phạm bảo mật quy mô lớn.
Bài viết này chỉ mang tính chất thông tin và không cấu thành lời khuyên đầu tư.