KelpDAO mất 280 triệu USD do ví DeFi bị rút sạch trên Ethereum và Arbitrum
KelpDAO được cho là đã bị mất hơn 280 triệu USD sau khi tin tặc rút sạch tài sản khỏi nhiều giao thức tài chính phi tập trung (DeFi) trên Ethereum và Arbitrum.
Nhà điều tra on-chain ZachXBT đã phát hiện vụ việc này, nhận diện sáu ví do tin tặc kiểm soát đang tích cực di chuyển số tiền bị đánh cắp.
Cách vụ tấn công KelpDAO xảy ra
Dữ liệu trên blockchain cho thấy các ví của tin tặc nhận được khoản tiền đầu tiên thông qua Tornado Cash, dịch vụ trộn coin giúp tăng quyền riêng tư, chỉ vài giờ trước khi vụ tấn công bắt đầu.
Các ví này sau đó đã giao dịch với các giao thức DeFi, thực hiện duyệt token và hoán đổi qua KyberSwap và KelpDAO rồi chuyển tất cả tài sản sang ether (ETH).
“KelpDAO dường như đã bị mất hơn 280 triệu USD chỉ trong vòng một giờ trên cả Ethereum và Arbitrum. Địa chỉ tấn công đã được cấp quỹ qua Tornado Cash”, ZachXBT chia sẻ trên Telegram.
Trong khoảng một tiếng, các tin tặc đã gom lại khoảng 75,700 ETH, tương đương khoảng 178 triệu USD ở giá hiện tại, vào một ví duy nhất.
Phần tài sản bị đánh cắp còn lại bao gồm nhiều loại token khác và các vị thế trên Arbitrum. Tại thời điểm viết bài, chưa phát hiện bất kỳ giao dịch rút tiền nào từ ví này.
Mô hình tấn công này cho thấy nhiều khả năng là bị lộ khóa riêng tư chứ không phải do lỗ hổng hợp đồng thông minh trên một giao thức cụ thể nào đó.
Bên bị hại dường như đã nắm giữ nhiều tài sản DeFi trên cả hai blockchain, và kẻ tấn công đã liên tục rút và hoán đổi toàn bộ số tài sản đó sang ETH thuần.
Ngày càng nhiều vụ tấn công nhắm vào cá mập
Vụ việc này diễn ra trong bối cảnh các cuộc tấn công lừa đảo và khai thác tâm lý xã hội nhắm đến những người sở hữu tài sản lớn ngày càng gia tăng.
Chỉ riêng trong tháng 01/2026, một nạn nhân lừa đảo đã mất 284 triệu USD, chiếm hơn 70% tổng thiệt hại mất cắp tiền mã hóa của tháng.
Nếu con số 280 triệu USD được xác nhận, đây sẽ là vụ đánh cắp từ ví cá nhân lớn nhất từ trước đến nay từng được ghi nhận.
Các chuyên gia an ninh mạng dự kiến sẽ có phân tích sâu hơn về dữ liệu on-chain trong vài giờ tới.
KelpDAO hiện vẫn chưa đưa ra thông báo nào về vụ việc và cũng chưa phản hồi yêu cầu bình luận từ BeInCrypto.
Bên cạnh đó, cũng xuất hiện thông tin cho rằng tài khoản Instagram của Pump.fun – nền tảng launchpad meme coin trên Solana – đã bị xâm nhập.
“Tất cả nội dung đăng tải từ tài khoản Instagram chính thức của pump fun hiện tại không đáng tin cậy. Vui lòng bỏ qua mọi bài đăng cho đến khi chúng tôi có thể lấy lại quyền kiểm soát tài khoản,” nhóm phát triển thông báo.
Dù vậy, các dịch vụ của Pump.fun vẫn hoạt động bình thường và tài sản của người dùng vẫn an toàn.
Bài viết đề xuất
