Vào ngày 20 tháng 4, giao thức phi tập trung Kelp DAO đã trở thành nạn nhân của một cuộc tấn công hack quy mô lớn, gây thiệt hại vượt quá 300 triệu đô la. Trong vài giờ đầu tiên sau sự cố, đã rõ ràng rằng đây là một trong những vụ cướp lớn nhất trong lĩnh vực DeFi trong những năm qua. Trong bài viết này, chúng ta sẽ phân tích những gì đã được biết cho đến nay và xem xét chi tiết quá trình điều tra trong 18 ngày đầu tiên sau khi bị hack.
Nếu trong vài giờ đầu tiên sau sự cố, bức tranh sự kiện còn rời rạc, thì trong mười ngày tiếp theo, cuộc điều tra đã tích lũy được một lượng lớn chi tiết kỹ thuật và sự thật.
Cuộc tấn công 1
Giai đoạn 1
Cuộc tấn công ban đầu
Tiếp tục kéo dài trong một phút.
Điểm vào được chọn là bộ điều hợp cross-chain rsETH dựa trên cơ sở hạ tầng LayerZero. Cuộc tấn công diễn ra do sự xâm phạm cơ sở hạ tầng của các nút RPC. Đã sử dụng một lỗi kiến trúc. Sự xâm phạm toàn bộ hệ thống bắt đầu từ một mã định danh bị xâm phạm.
Giai đoạn 2
Diện tích các sự kiện chính
Sau khi hệ thống bị xâm nhập, kẻ xấu đã sử dụng một kế hoạch tinh vi: họ đã gửi một thông điệp giả mạo về việc 'khóa' tài sản thành công.
Đối với những ai không am hiểu về kiến trúc DeFi, trong bối cảnh này 'khóa' không hoạt động như việc đóng băng tài khoản mà là xác nhận khoản đóng góp. Trong điều kiện bình thường, quy trình diễn ra như sau:
Giai đoạn 1
Bạn gửi tài sản (ví dụ, 100$). Hệ thống ghi nhận việc nhận tiền và 'khóa' chúng trong kho của mình như một tài sản thế chấp.
Giai đoạn 2
Chỉ sau khi giai đoạn đầu thành công, quá trình tự động phát hành token mới được khởi động, mà người dùng sẽ nhận được.
Chính logic này đã được hacker sử dụng. Họ đã khiến hệ thống tin rằng giai đoạn đầu đã thành công, mặc dù không có tài sản thực nào được gửi vào. Tin tưởng vào thông điệp giả mạo như hợp pháp, giao thức đã phát hành nhầm 116.500 rsETH mà không có bất kỳ tài sản đảm bảo nào. Nhờ tích hợp với công nghệ LayerZero, kẻ xấu đã có thể nhanh chóng lan tỏa ảnh hưởng này lên nhiều blockchain. Điều này đã cho phép họ rút tiền từ hơn 20 mạng, bao gồm Arbitrum, Base, Linea và những mạng khác, biến lỗi của một giao thức thành một tổn thất thanh khoản quy mô lớn trong toàn bộ hệ sinh thái.
Giai đoạn 3
Rút lui và hợp pháp hóa
Nhận được hàng nghìn token rsETH không có tính thanh khoản (thực tế không có bảo đảm thực sự), hacker đã sử dụng chúng làm tài sản thế chấp trong các giao thức cho vay, đặc biệt là trong Aave.
Cách nó hoạt động (nói một cách đơn giản):
Hãy tưởng tượng một tiệm cầm đồ bình thường. Nếu bạn mang một bức tranh đến đó, người định giá sẽ kiểm tra kỹ lưỡng nó trong thời gian thực trước khi phát tiền. Tuy nhiên, các giao thức cho vay tiền điện tử là các hệ thống tự động hoạt động theo các thuật toán đã được lập trình sẵn. Hacker đã 'mang' đến một tiệm cầm đồ số này những tác phẩm nghệ thuật giả mạo (rsETH không có tính thanh khoản). Vì hệ thống đã coi những token này là hợp pháp, nó tự động phát ra tiền thật — Ethereum (WETH) dựa trên tài sản thế chấp của chúng. Kẻ xấu đã nhận được tiền điện tử thực sự, để lại cho giao thức những 'mảnh giấy' không có giá trị. Để xóa dấu vết, số tiền nhận được đã được phân tán ngay lập tức giữa hàng trăm địa chỉ ẩn danh. Điều này đã khiến quá trình theo dõi và hoàn trả tài sản trở thành một nhiệm vụ cực kỳ khó khăn cho các nhà phân tích.
Phản ứng
Các quản trị viên Kelp DAO đã kích hoạt 'dừng khẩn cấp' cho tất cả các hợp đồng thông minh để ngăn chặn việc rút tiền tiếp theo. Cuộc tấn công đã ảnh hưởng đến ít nhất 9 giao thức liên quan, đội ngũ đã bắt đầu đồng bộ khẩn cấp với các nền tảng DeFi khác để cách ly các pool thanh khoản bị hư hại.
Trong những phút đầu, các đội an ninh mạng đã được kết nối, bao gồm:
Cyvers:
Một trong những nhóm đầu tiên đã phát hiện ra hoạt động bất thường và xác nhận vụ xâm nhập
Halborn
Đã công bố một báo cáo kỹ thuật chi tiết, giải thích lý do cuộc tấn công — lỗ hổng trong cấu hình kiểm tra của cầu nối cross-chain.
PeckShield
Đã gửi lực lượng để phân tích các giao dịch.
Chainalysis và Elliptic
Theo dõi tài sản bị đánh cắp.
Sau các biện pháp đối phó ban đầu, có vẻ như câu chuyện sẽ đi theo một lộ trình hợp lý của điều tra, giao tiếp, v.v. Tuy nhiên, sau 20 phút, những gì xảy ra có thể đưa vụ cướp này lên một cấp độ phân loại hậu quả cao hơn.
Cuộc tấn công 2
Mặc dù có những mâu thuẫn sau các sự kiện nêu trên, hệ thống đã bị xâm phạm và hacker đã thực hiện một cuộc tấn công lần nữa.
Điểm vào là những nút RPC bị xâm phạm đó.
Vào thời điểm đó, các hợp đồng thông minh chính đã bị các đội bảo vệ đóng băng và một con đường khác đã được chọn cho cuộc tấn công. Một gói dữ liệu mới với xác nhận giả mạo về việc 'đốt' token đã được gửi trên một trong các mạng. Ý tưởng chính nằm ở việc cố gắng khiến cầu nối phát hành một lượng rsETH không được đảm bảo mới trên một mạng khác.
Khái niệm nói đơn giản:
Khi gửi 100 đồng từ một mạng sang mạng khác, có thể phân chia thành nhiều giai đoạn.
Giai đoạn 1
Mạng gửi coin xác nhận việc đốt cháy chúng một cách giả định, hình thành một khối dữ liệu, thực tế đóng vai trò như một biên nhận. Nó nói rõ ràng: đã gửi yêu cầu chuyển một số lượng coin nhất định.
Giai đoạn 2
Nếu đây là các mạng liên kết, theo các thuật toán kiểm tra đã cho, mạng khác bắt đầu nhận dữ liệu. Nếu việc xác minh đã thành công trên mạng khác, việc phát hành 100 đồng coin giống nhau sẽ được khởi xướng. Hacker đã gửi một thông điệp giả mạo về các hành động thành công ở giai đoạn 1, mà thực tế là không có. Trong trường hợp thành công, sẽ thu được 95 - 105 triệu đô la dưới dạng rsETH.
Phản ứng của các đội an ninh
Ngoài việc tập trung vào hậu quả của cuộc tấn công trước đó, một phần đội ngũ đã bảo vệ 'chu vi'. Nhờ vào việc phân tán lực lượng thành công, hội đồng bảo mật Arbitrum đã chặn đứng nỗ lực rút tiền ở cấp độ hợp đồng thông minh và cuộc tấn công đã thất bại.
Ai đứng sau cuộc tấn công
Chưa có cáo buộc chính thức nào được đưa ra đối với các cá nhân hoặc tổ chức nhà nước cụ thể. Người bị tình nghi chính trong cuộc tấn công quy mô lớn vào Kelp DAO, xảy ra vào tháng 4 năm 2026, là nhóm hacker Bắc Triều Tiên Lazarus Group (đặc biệt là bộ phận TraderTraitor). Các báo cáo trước đó từ LayerZero Labs, cũng như phân tích từ Chainalysis, Halborn và điều tra viên blockchain ZachXBT, chỉ ra Lazarus Group là kẻ thực hiện có khả năng cao nhất.
Cuộc điều tra vụ tấn công Kelp DAO, xảy ra vào tháng 4 năm 2026, đã tập hợp các đội ngũ an ninh mạng quốc tế, cơ quan thực thi pháp luật và các nhóm phản ứng nhanh chuyên biệt về blockchain. Bởi vì cuộc tấn công có liên quan đến nhóm tội phạm Bắc Triều Tiên Lazarus Group (đặc biệt là tiểu nhóm TraderTraitor), cuộc điều tra có tính toàn cầu.
Các đội điều tra hàng đầu
Đội ngũ Kelp DAO và các kiểm toán viên
Đang làm việc để khắc phục các lỗ hổng và phục hồi dữ liệu từ các log của các nút bị nhiễm.
LayerZero Labs
Đã thực hiện phân tích cơ sở hạ tầng của mình (nút RPC), được sử dụng làm điểm vào.
Hội đồng bảo mật Arbitrum
Cơ quan quản lý mạng Arbitrum, đã phối hợp đóng băng tài sản.
Mỹ
Chainalysis
Đã cung cấp một báo cáo chi tiết, xác nhận rằng cuộc tấn công được nhắm đến cơ sở hạ tầng ngoài chuỗi, chứ không phải hợp đồng thông minh.
TRM Labs
Đang theo dõi tích cực các ví của kẻ xấu trong thời gian thực.
Trung Quốc/Singapore
PeckShield
Giúp theo dõi các lộ trình chuyển giao tài sản bị đánh cắp qua các giao thức bảo mật khác nhau.
Israel
Cyvers
Một trong những nhóm đầu tiên đã phát hiện ra vụ tấn công và cung cấp phân tích kỹ thuật về cách hacker rửa tiền qua THORChain và BitTorrent.
Hàn Quốc
Hợp tác tích cực thông qua dữ liệu tình báo về hoạt động của hacker Bắc Triều Tiên.
Cộng đồng quốc tế
Nhóm phản ứng nhanh và an ninh SEAL. Đã tham gia vào cuộc điều tra trước đó và giúp giảm thiểu tổn thất tiếp theo.
Bồi thường
Nguồn tài chính cho bồi thường:
Tài sản bị đóng băng ($71 triệu)
Đây là những tài sản trên Arbitrum, đã bị Hội đồng bảo mật mạng chặn lại. Chúng đã được trả lại cho Kelp DAO thông qua một cuộc bỏ phiếu quản trị đặc biệt.
Quỹ ngân quỹ riêng
Đội ngũ Kelp đã sử dụng các khoản phí tích lũy và một phần dự trữ riêng để trang trải.
Bán token KELP
Đã tiến hành một vòng tài trợ khẩn cấp thông qua việc bán token của dự án cho các quỹ đầu tư mạo hiểm với mức chiết khấu lớn, để nhanh chóng thu hút thanh khoản.
Kế hoạch phục hồi
Ưu tiên cho các nhà đầu tư bán lẻ
Người dùng bình thường, những người nắm giữ một số lượng nhỏ rsETH, đã được quyền rút tiền trước tiên.
'Giấy ghi nợ' kỹ thuật
Đối với những ai không muốn chờ đợi 6 tháng để được hoàn trả toàn bộ, Kelp đã phát hành các token đặc biệt kLoss. Chúng đại diện cho quyền lợi trong một phần lợi nhuận tương lai của giao thức. Người dùng có thể giữ chúng cho đến khi được thanh toán đầy đủ hoặc bán trên thị trường thứ cấp cho những ai sẵn sàng chờ đợi.
Vai trò của LayerZero
Vì cuộc tấn công xảy ra thông qua cơ sở hạ tầng LayerZero, công ty phát triển (LayerZero Labs) đã cấp một khoản tài trợ trị giá $10 triệu như một cử chỉ thiện chí để hỗ trợ người dùng bị ảnh hưởng, mặc dù về mặt pháp lý họ không thừa nhận hoàn toàn lỗi của mình.
Vào ngày 6 tháng 4, đội ngũ Kelp DAO đã chính thức thông báo về việc từ bỏ việc sử dụng hệ thống LayerZero và chuyển sang cơ sở hạ tầng Chainlink.
Tình trạng hiện tại
Hầu hết người dùng (hơn 98%) đã hoàn toàn khôi phục vị thế của mình. Tuy nhiên, các nhà đầu tư tổ chức lớn vẫn đang trong quá trình nhận các đợt thanh toán cuối cùng theo lịch trình giải phóng.
Kết luận
Vụ tấn công Kelp DAO đã chính thức trở thành một trong những vụ cướp lớn nhất trong những năm gần đây. Tuy nhiên, cuộc điều tra đã phát hiện ra rằng sau cuộc tấn công ban đầu, đã có một đợt tấn công thứ hai. Nhờ sự chuyên nghiệp của các đội ngũ an ninh mạng, cuộc tấn công lặp lại này đã hoàn toàn bị đánh bại, giảm thiểu tổn thất tiềm năng khoảng 40%. Dù vậy, tình hình vẫn rất phức tạp. Vấn đề bảo vệ dữ liệu đang trở nên cấp bách, khi số lượng dự án tăng nhanh và triển vọng chuyển đổi hệ thống crypto thành một nền tảng tài chính đầy đủ cho các quốc gia.