Các ví tiền có liên quan đến vụ khai thác (exploit) Kelp DAO trị giá khoảng 292 triệu USD đã bắt đầu một nỗ lực nhằm rửa số tiền bị đánh cắp sau khi mạng Ethereum Layer 2 Arbitrum đóng băng một phần tài sản.

Khoảng 1.5 triệu USD đã được chuyển từ mainnet Ethereum sang Bitcoin thông qua THORChain, và khoảng 78.000 USD khác được chuyển qua giao thức bảo mật Umbra, theo nhà điều tra blockchain ZachXBT.

Đáng chú ý, các nhà phân tích onchain khác cho rằng nỗ lực rửa tiền có thể đã lớn hơn nhiều.

Công ty bảo mật blockchain PeckShield cho biết kẻ khai thác đã bắt đầu chuyển khoảng 176 triệu USD tiền bị đánh cắp thông qua THORChain, Umbra, Chainflip và BitTorrent. Các nhà phân tích onchain của Ember CN nhấn mạnh rằng kẻ tấn công đã bắt đầu chuyển khoảng 75.700 ETH, tương đương khoảng 175 triệu USD, ra khỏi Ethereum sau khi Arbitrum đóng băng, bao gồm các khoản chuyển nhỏ hơn thông qua Umbra.

Những ước tính này chưa được Kelp DAO hoặc LayerZero xác nhận một cách độc lập.

Câu chuyện Kelp DAO tiếp diễn

Bản cập nhật này đánh dấu một giai đoạn mới trong một trong những vụ khai thác DeFi lớn nhất năm nay.

Sau các vụ đóng băng khẩn cấp và đổ lỗi về thiết kế cầu nối, một câu hỏi khác về việc bao nhiêu tiền điện tử bị đánh cắp vẫn có thể được theo dõi, đóng băng hoặc phục hồi hiện đang trở nên quan trọng.

Các khoản chuyển đến các giao thức như THORChain và Umbra diễn ra ngay sau khi Hội đồng Bảo an của Arbitrum đóng băng khoảng 71 triệu USD ETH liên quan đến vụ tấn công, đây là một trong số ít chiến thắng cụ thể trong việc kiềm chế hậu quả của Kelp DAO cho đến nay.

Vụ khai thác này lần đầu tiên được tiết lộ vào cuối tuần qua, khi cầu nối rsETH của Kelp DAO bị tấn công với thiệt hại khoảng 292 triệu USD, nhanh chóng trở thành vụ vi phạm DeFi đáng chú ý nhất trong tháng Tư.

Ari Redbord, người đứng đầu chính sách toàn cầu tại TRM Labs, cho biết trong một bài đăng công khai rằng kẻ tấn công đã rút khoảng 116.500 rsETH, tương đương khoảng 18% tổng cung lưu hành, sau khi gọi luồng lzReceive của LayerZero bằng một tin nhắn có vẻ như đã bị giả mạo.

Từ đó, sự cố nhanh chóng lan rộng.

LayerZero sau đó cho biết nhóm Lazarus của Triều Tiên là thủ phạm có khả năng cao nhất và lập luận rằng vụ khai thác được thực hiện nhờ một điểm yếu trong đường dẫn xác minh, trong khi Kelp DAO đổ lỗi ngược lại cho kiến trúc nhắn tin của LayerZero.

Hậu quả tài chính cũng quan trọng không kém cuộc chiến đổ lỗi.

Trong những ngày sau vụ tấn công, các giao thức DeFi đã chao đảo trước rủi ro lan truyền xung quanh rsETH, với những lo ngại nổi lên về chất lượng tài sản thế chấp, áp lực chốt giá (peg pressure), và các kịch bản nợ xấu có thể xảy ra trên các thị trường cho vay. Redbord tuyên bố rằng Aave, SparkLend, Fluid và Upshift đều đã tạm dừng hoặc đánh giá lại mức độ tiếp xúc (exposure) liên quan đến rsETH khi người dùng vội vàng cắt giảm rủi ro.

Vấn đề đang diễn ra khiến hoạt động rửa tiền mới nhất này không chỉ là một động thái thông thường sau khi bị hack.

Khi tiền di chuyển ra khỏi hiện trường vụ án onchain ban đầu và bắt đầu chuyển đổi chuỗi sang các kênh Bitcoin hoặc công cụ bảo vệ quyền riêng tư, việc thu hồi có xu hướng trở nên khó khăn hơn đáng kể.

Các cập nhật từ ZachXBT và những người khác cho thấy quá trình này hiện đang diễn ra.

Tuy nhiên, điều quan trọng cần lưu ý là số tiền mới được xác định trong các giao dịch chuyển qua Umbra và các kênh khác vẫn còn nhỏ so với tổng số tiền bị đánh cắp. Nhưng chúng quan trọng vì chúng cho thấy những kẻ tấn công đã thử nghiệm các con đường thoát, chứ không chỉ đơn thuần là giữ nguyên số tiền thu được.

Điều này có thể làm tăng sự chú ý đến khung thời gian phản ứng sớm hơn. Việc đóng băng của Arbitrum cho thấy một phần ETH bị đánh cắp vẫn có thể bị vô hiệu hóa. Các giao dịch chuyển mới qua THORChain và Umbra cho thấy các phần khác đã bắt đầu rơi vào lãnh thổ khó kiểm soát hơn.