Kẻ tấn công đứng sau vụ khai thác rsETH trị giá gần 300 triệu đô la của KelpDAO hiện đang rửa tiền từ Ethereum sang Arbitrum và vào USDT dựa trên Tron.
Kẻ tấn công đứng sau vụ khai thác KelpDAO trị giá gần 300 triệu đô la đã bắt đầu rửa số tiền đã đánh cắp, chuyển tiền qua Arbitrum và vào các stablecoin dựa trên Tron, một động thái làm gia tăng lo ngại về khả năng thu hồi và truy vết trên toàn bộ DeFi.
Dữ liệu on-chain cho thấy kẻ tấn công đang chuyển tài sản có nguồn gốc từ rsETH qua cầu nối sang Arbitrum, hoán đổi sang $USDT, và sau đó đưa giá trị vào hệ sinh thái Tron, một mô hình mà các nhà điều tra cho rằng được thiết kế để phá vỡ dấu vết kiểm toán và khai thác tính thanh khoản trên nhiều mạng.
Các nhà phân tích đã cảnh báo trong một ghi chú rằng vụ vi phạm KelpDAO trị giá khoảng 293 triệu đô la “có thể buộc các ngân hàng lớn ở Phố Wall phải đánh giá lại tốc độ” của các dự án blockchain và token hóa của họ, lập luận rằng sự cố này phơi bày “các rủi ro cơ sở hạ tầng nghiêm trọng liên quan đến cầu nối cross-chain và cấu hình một trình xác thực duy nhất.”
Andrew Moss, nhà phân tích tài sản kỹ thuật số tại Jefferies, cho biết vụ khai thác này có khả năng “thúc đẩy các ngân hàng lớn ở Phố Wall xem xét lại các sáng kiến blockchain của họ,” ngay cả khi các trường hợp sử dụng dài hạn như stablecoin cho thanh toán xuyên biên giới vẫn còn nguyên vẹn.
Vụ khai thác ngày 18 tháng 4 đã rút cạn 116.500 rsETH — trị giá khoảng 290 triệu đến 293 triệu đô la — từ cầu nối của KelpDAO, được các nhóm nghiên cứu gọi là tổn thất DeFi lớn nhất năm 2026 cho đến nay.
LayerZero, cơ sở hạ tầng hỗ trợ cầu nối rsETH, cho biết sự cố này chỉ giới hạn ở thiết lập xác minh 1-trong-1 của Kelp và theo sau một sự xâm nhập các node RPC, trong khi KelpDAO đã phản bác, lập luận rằng họ đã triển khai các cài đặt mặc định của LayerZero và “một chữ ký giả mạo là đủ để làm cho bất kỳ thông điệp cross-chain nào trông thật.”
Khi các nhà đầu tư rút ước tính 15 tỷ đô la khỏi DeFi sau vụ hack, sự cố KelpDAO đã làm gia tăng lo ngại rằng thiết kế cầu nối và các giả định về trình xác thực đang trở thành các điểm rủi ro hệ thống cho cả các giao thức blue-chip và các thử nghiệm của tổ chức.
Yahoo Finance đưa tin rằng những kẻ tấn công liên quan đến Triều Tiên đã đánh cắp gần 600 triệu đô la từ các ứng dụng on-chain chỉ trong quý đầu tiên, với khoản lỗ 294 triệu đô la của KelpDAO nổi lên như là cú sốc mới nhất đối với các nhà phân bổ tổ chức vốn đã thận trọng.
Thêm vào sự lo lắng, công ty bảo mật blockchain SlowMist đã đưa ra cảnh báo về một chủng phần mềm độc hại macOS đang hoạt động được đặt tên là “MacSync Stealer” (v1.1.2), mà họ mô tả là phần mềm độc hại đánh cắp thông tin “rủi ro cao” nhắm mục tiêu vào người dùng tiền điện tử.
Theo SlowMist, MacSync Stealer có khả năng trích xuất ví tiền điện tử, thông tin đăng nhập được lưu trong trình duyệt, chuỗi khóa hệ thống và khóa cơ sở hạ tầng như SSH, AWS và Kubernetes, thường sử dụng các cửa sổ bật lên AppleScript giả mạo để lừa người dùng nhập mật khẩu của họ.
SlowMist kêu gọi người dùng “tránh chạy các script macOS từ các nguồn không xác minh và đặc biệt thận trọng với các lời nhắc mật khẩu hệ thống bất ngờ,” lưu ý rằng các chỉ số về sự xâm phạm đã được chia sẻ với các đối tác.
Với ba trong số các tiêu đề hàng đầu trong ngày liên quan đến phần mềm độc hại macOS hoặc các vụ khai thác cầu nối DeFi, và Jefferies cảnh báo rằng các vụ tấn công lớn như của KelpDAO có thể “tạm thời làm chậm việc áp dụng token hóa TradFi khi các công ty đánh giá lại rủi ro bảo mật,” khoảng cách giữa bề mặt tấn công kỹ thuật của crypto và khả năng chấp nhận rủi ro của Phố Wall đột nhiên trở thành tâm điểm.
