Hacker đứng sau vụ Kelp DAO đã rửa thành công 80 triệu USD ETH thông qua THORChain

Vụ tấn công vào cầu nối cross-chain Kelp DAO tiếp tục có diễn biến mới khi hacker đã rửa thành công khoảng 80 triệu USD ETH, phần lớn thông qua giao thức hoán đổi phi tập trung THORChain, theo dữ liệu phân tích on-chain mới nhất từ EmberCN.

Theo dữ liệu blockchain được công bố trên mạng xã hội X, kẻ tấn công đã rửa khoảng 34.500 ETH sau khi chuyển khoảng 175 triệu USD ETH ra khỏi mạng Ethereum vào đầu tuần. Đây là diễn biến mới nhất trong vụ hack trị giá 292 triệu USD nhắm vào Kelp DAO — một trong những sự cố an ninh nghiêm trọng nhất của hệ sinh thái DeFi trong thời gian gần đây.

Trước đó, Hội đồng Bảo mật Arbitrum đã kịp thời can thiệp bằng cách đóng băng 30.766 ETH liên quan đến vụ tấn công. Hành động này được cho là đã thúc đẩy hacker nhanh chóng di chuyển phần tài sản còn lại nhằm tránh nguy cơ tiếp tục bị phong tỏa. Diễn biến này phản ánh cuộc “chạy đua” quen thuộc giữa các nhóm bảo mật blockchain và tội phạm mạng trong lĩnh vực tiền điện tử: mỗi khi một phần tài sản bị chặn, hacker sẽ lập tức tìm đường tẩu tán phần còn lại qua các giao thức phi tập trung.

Phần lớn lượng ETH bị đánh cắp đã được hoán đổi sang BTC thông qua THORChain – một giao thức cross-chain non-custodial cho phép swap tài sản giữa nhiều blockchain mà không cần trung gian. Sự kiện này khiến khối lượng giao dịch của THORChain tăng đột biến. Dữ liệu từ dashboard của giao thức cho thấy khối lượng swap trong vòng 24 giờ đạt khoảng 394 triệu USD, tạo ra hơn 456.000 USD phí giao dịch – cao gấp nhiều lần mức thông thường vốn chỉ dao động khoảng 10–35 triệu USD mỗi ngày. Điều này cho thấy các vụ hack lớn không chỉ gây thiệt hại cho nạn nhân mà còn vô tình tạo doanh thu khổng lồ cho các giao thức DeFi hoạt động theo cơ chế permissionless.

THORChain không phải lần đầu bị nhắc đến trong các vụ rửa tiền crypto quy mô lớn. Trước đó, giao thức này từng bị cáo buộc được các nhóm hacker Triều Tiên sử dụng để chuyển đổi tài sản đánh cắp từ ETH sang BTC, bao gồm cả vụ hack hơn 1,5 tỷ USD từ sàn Bybit. Trong vụ Kelp DAO, LayerZero nhận định nhóm Lazarus của Triều Tiên có khả năng cao đứng sau cuộc tấn công, làm dấy lên lo ngại về việc các tổ chức tội phạm mạng quốc gia tiếp tục tận dụng DeFi làm công cụ rửa tiền xuyên biên giới.

Dù chịu nhiều chỉ trích vì không chặn dòng tiền liên quan đến hacker, THORChain vẫn giữ lập trường “trung lập tuyệt đối”. Giao thức khẳng định được thiết kế theo triết lý tương tự Bitcoin: không cần cấp phép, chống kiểm duyệt và không có thực thể kiểm soát trung tâm. Theo đội ngũ phát triển, hệ thống không có admin key, không có multisig quản trị và các node chỉ thực thi đúng theo mã nguồn. Quan điểm này tiếp tục gây tranh cãi trong cộng đồng: một bên coi đây là giá trị cốt lõi của DeFi, bên còn lại cho rằng sự trung lập này đang vô tình tạo điều kiện cho tội phạm tài chính.