KelpDAO hơn 30.000 ETH đã được thu hồi bằng một cú nhấn nút: Arbitrum ra tay khẩn cấp gây chấn động ngành

Viết bài: jsai@Jinse Finance

Ngày 18 tháng 4 năm 2026, lĩnh vực DeFi bùng nổ vụ tấn công quy mô lớn nhất từ đầu năm 2026 đến nay.

Cầu rsETH của KelpDAO (dựa trên giao thức cross-chain LayerZero) bị hacker lợi dụng, giả mạo khoảng 116.500 rsETH (trị giá khoảng 292 triệu USD). Hacker thông qua việc giả mạo tin nhắn cross-chain, đúc rsETH không có chứng thực, sau đó nhanh chóng đổi thành ETH, phân tán vốn trên mạng chính Ethereum và Arbitrum One. Trong đó khoảng 30.766 ETH (khoảng 71 triệu USD) còn lại trên chuỗi Arbitrum One.

Ngày 21 tháng 4, Ủy ban An toàn của Arbitrum đã thực hiện hành động khẩn cấp hiếm hoi, thành công chuyển và thu hồi số vốn này. So với vụ hacker lấy đi 20 triệu OP vào năm 2022, khi Optimism rõ ràng từ chối sử dụng nâng cấp khẩn cấp để tạm dừng hoặc phong tỏa luồng token, đây là lần đầu tiên trong các Layer 2 Stage 1 (như Arbitrum One, Optimism, Base, Starknet, v.v.) có hành động kích hoạt ủy ban an toàn và phong tỏa vốn.

Sự kiện này thể hiện khả năng phản ứng của một số Layer 2 trong tình huống khủng hoảng, nhưng cũng nhanh chóng gây ra cuộc tranh luận sôi nổi trong cộng đồng mã hóa về bản chất “phi tập trung”.

一、Arbitrum một nút nhấn chuyển đi vốn của hacker

Trong tuyên bố ngày 21 tháng 4, chính thức của Arbitrum cho biết, sau khi ủy ban an toàn nhận được thông tin từ cơ quan thực thi pháp luật về danh tính của kẻ tấn công, qua “đánh giá kỹ thuật và thẩm định lớn”, đã thực hiện một “giải pháp kỹ thuật”, chuyển 30.766 ETH từ địa chỉ hacker sang một “ví phong tỏa trung gian” (intermediary frozen wallet).

Giao dịch phong tỏa tx https://arbiscan.io/tx/0x5618044241dade84af6c41b7d84496dc9823700f98b79751e257608dac570f6b

Ví này chỉ có thể được mở khóa qua hành động quản trị của Arbitrum, và không ảnh hưởng đến trạng thái chuỗi, người dùng hay ứng dụng khác.

Việc chuyển hoàn tất vào lúc 23:26 giờ miền Đông Hoa Kỳ ngày 20 tháng 4, địa chỉ ban đầu của hacker đã không còn truy cập vào vốn. Đây là một can thiệp “phẫu thuật chính xác”, chứ không phải tạm dừng toàn bộ chuỗi hay phân nhánh cứng.

Ủy ban An toàn của Arbitrum đã thực hiện hành động khẩn cấp, phong tỏa 30.766 ETH trong các địa chỉ liên quan đến lỗ hổng KelpDAO trên Arbitrum One. Ủy ban xác định danh tính hacker với sự hỗ trợ của cơ quan thực thi pháp luật, và luôn duy trì an toàn, toàn vẹn của cộng đồng Arbitrum, đảm bảo không ảnh hưởng đến bất kỳ người dùng hay ứng dụng nào của Arbitrum.

Sau quá trình điều tra kỹ thuật và thẩm định lớn, ủy ban xác định và thực hiện một giải pháp kỹ thuật, chuyển vốn đến vị trí an toàn mà không ảnh hưởng đến trạng thái các chuỗi khác hoặc người dùng Arbitrum.

Tính đến 23:26 ngày 20 tháng 4 theo giờ miền Đông Hoa Kỳ, vốn đã được chuyển thành công đến một ví phong tỏa trung gian. Địa chỉ ban đầu nắm giữ số vốn này không thể truy cập nữa, chỉ có thể thực hiện các hành động tiếp theo sau khi Arbitrum phối hợp với các bên liên quan để chuyển tiếp.

二、Chi tiết cơ chế chuyển ETH: Quyền khẩn cấp của ủy ban an toàn

Arbitrum, với tư cách là Optimistic Rollup trên Ethereum (hiện đang ở giai đoạn Stage 1 theo xếp hạng của L2Beat), trong thiết kế kiến trúc đã tích hợp cơ chế cân nhắc giữa phi tập trung và an toàn.

Điểm cốt lõi là ủy ban an toàn gồm 12 người (bầu chọn bởi Arbitrum DAO), có quyền nâng cấp khẩn cấp. Ủy ban có thể qua đa chữ ký 9/12 ủy quyền nâng cấp hệ thống hợp đồng hoặc thực hiện biện pháp khẩn cấp, nhằm bảo vệ DAO, người dùng và toàn bộ hệ sinh thái. Đây không phải “cửa hậu”, mà là thiết kế quản trị công khai, để ứng phó với hacker, lỗ hổng hoặc rủi ro lớn.

Hành động lần này không đơn thuần “khóa địa chỉ”, mà là sử dụng khả năng nâng cấp của ủy ban an toàn, thực hiện chuyển chính xác ETH của hacker. Cơ chế Rollup của Arbitrum cho phép trong tình huống khẩn cấp kiểm soát trạng thái hợp đồng nhất định hoặc thực hiện các giao dịch đặc biệt qua quản trị, mà không cần thay đổi đồng thuận toàn chuỗi hoặc ảnh hưởng đến các địa chỉ khác.

Dựa trên phân tích trên chuỗi và báo cáo kỹ thuật, hành động này tập trung vào nâng cấp tạm thời hợp đồng Inbox (là cửa ngõ cho tất cả các tin nhắn từ Arbitrum→Ethereum trên L1):

1、Ủy ban an toàn qua đa chữ ký 9/12 ủy quyền nâng cấp khẩn cấp: gửi một giao dịch trên mạng chính Ethereum, nâng cấp hợp đồng Inbox (hoặc các hợp đồng hệ thống liên quan). Sau nâng cấp, tạm thời thêm một hàm mới, cho phép “đại diện cho bất kỳ địa chỉ ví nào” gửi tin nhắn cross-chain — không cần khóa riêng của địa chỉ đó.

2、Gửi tin nhắn chuyển khoản giả mạo của hacker: sử dụng hàm mới, tạo ra một tin nhắn L1→L2, giả dạng hacker là người gửi, nội dung là “chuyển toàn bộ ETH của địa chỉ đó đến ví phong tỏa trung gian”. Bước này về bản chất là “ký thay hacker” một giao dịch L2, nhưng do ủy ban an toàn kích hoạt ở L1.

3、Thực thi chuyển trên L2: tin nhắn này được thực thi qua cơ chế Rollup của Arbitrum trên L2, 30.766 ETH của hacker sẽ được chuyển trực tiếp đến ví phong tỏa trung gian (intermediary frozen wallet). Quyền kiểm soát ví này chỉ thuộc về quản trị Arbitrum (sau này sẽ bỏ phiếu để mở khóa).

4、Hoàn tất nguyên tử + nâng cấp hoàn nguyên: toàn bộ quá trình (nâng cấp → giả mạo tin nhắn → thực thi chuyển → loại bỏ hàm mới/nâng cấp hoàn nguyên) đều hoàn tất trong một giao dịch trên mạng chính Ethereum. Nâng cấp là tạm thời, không thay đổi vĩnh viễn logic hợp đồng, cũng không ảnh hưởng đến số dư, trạng thái hợp đồng hoặc tương tác của các địa chỉ khác.

Nói đơn giản: ETH của hacker vẫn còn trên chuỗi Arbitrum One, nhưng ủy ban an toàn qua việc giả mạo tin nhắn chuyển của hacker đã “di chuyển” ETH bị đánh cắp từ địa chỉ hacker đến một địa chỉ phong tỏa chỉ có DAO mới kiểm soát được.

Điều này thể hiện sự thỏa hiệp thực dụng giữa tốc độ, an toàn và phi tập trung của Layer 2.

三、Thảo luận và tranh cãi trong cộng đồng mã hóa

Hành động này nhanh chóng gây phản ứng hai chiều trên X (Twitter) và các diễn đàn mã hóa.

Nhiều người ca ngợi đây là “quyết định đúng đắn và dũng cảm”: phần lớn vốn đã được thu hồi (khoảng 24% bị phong tỏa), bảo vệ người dùng của KelpDAO, Aave, tránh rủi ro hệ thống lớn hơn. Có người đùa rằng “phi tập trung đến khi cần”, và chỉ ra rằng Bitcoin mới là chuỗi “thật sự không thể phong tỏa”, còn Layer 2 vốn dĩ không hoàn toàn phi tập trung.

Một số ý kiến còn cho rằng, nếu chuỗi có thể phong tỏa tiền phạm pháp mà không làm gì, mới là thiếu trách nhiệm. Ủy ban an toàn chính là để làm điều này, hành động nhanh và minh bạch, hiệu quả hơn một số nhà phát hành stablecoin tập trung (như Circle). Các thành viên cộng đồng Arbitrum (như Griff Green) còn chúc mừng đây là “phản công chống hacker (có thể liên quan đến nền tảng quốc gia nào đó)”.

Tuy nhiên, cũng có nhiều ý kiến phản đối và lo ngại, đó là điểm gây tranh cãi của hành động này, ví dụ:

Giấc mơ phi tập trung bị phá vỡ: nhiều ý kiến chỉ trích “đây cho thấy Arbitrum về bản chất là một multi-sig wallet”, ủy ban an toàn có thể đơn phương phong tỏa bất kỳ địa chỉ nào, mở ra tiền lệ nguy hiểm. “Hôm nay là hacker, ngày mai có thể là người dùng bình thường?” “L2 phi tập trung chỉ là thuật ngữ marketing.”

Lo ngại hiệu ứng sụp đổ: các nhà phê bình cho rằng, dù “về mặt kỹ thuật đúng”, nhưng chứng minh L2 vẫn dựa vào niềm tin vào một số ít người (ủy ban 12 người). Nếu chính phủ gây áp lực hoặc quản trị bị bắt giữ, các quyền này có thể bị lạm dụng. Có người tuyên bố “không dùng Arbitrum nữa, chuyển về L1”.

Bí mật công khai của Stage 1 rollup: những người ủng hộ nhắc nhở rằng, đây đã được L2Beat ghi nhận là đặc điểm của Stage 1 (hầu hết L2 như Base, Optimism đều tương tự), chứ không phải lỗi bất thường. Nhưng phản đối cho rằng, nhận thức của người dùng về “L2=phi tập trung” đã bị xé toạc, sự kiện này đã lột trần “chiếc mặt nạ cuối cùng” của nó.

Tổng thể, cộng đồng đồng thuận rằng: trong ngắn hạn, đây là biện pháp cần thiết và hiệu quả để đối phó khủng hoảng, nhưng về dài hạn, vẫn cần thúc đẩy quản trị Layer 2 tiến tới Stage 2 (phi nâng cấp, hoàn toàn phi tập trung).

Sự kiện này cũng làm nổi bật cuộc tranh luận muôn thuở về “phong tỏa tiền phạm pháp vs. không thể kiểm duyệt tuyệt đối” trong DeFi.

Kết luận: Lựa chọn an toàn thực tế của Layer 2

Hành động của ủy ban an toàn Arbitrum đã thành công cứu vãn phần nào tổn thất, thể hiện khả năng phản ứng nhanh của Layer 2 trong đối mặt với hacker quy mô lớn.

Nhưng cũng nhắc nhở toàn ngành: hiện tại phần lớn Layer 2 vẫn đang trong trạng thái “được quản trị bảo vệ của phi tập trung”, chứ không phải “mã lập trình như luật pháp” của Layer 1. Khi quy mô DeFi mở rộng, việc cân bằng giữa can thiệp khẩn cấp và tối thiểu hóa niềm tin dài hạn sẽ là bài toán mà Arbitrum và toàn bộ hệ sinh thái Layer 2 phải đối mặt.

Với người dùng phổ thông, đây có thể là một tín hiệu: khi chọn chuỗi, không chỉ nhìn TVL và phí, mà còn cần xem xét độ minh bạch quản trị và thiết kế cơ chế khẩn cấp của nó.

Sự phi tập trung trong thế giới mã hóa chưa bao giờ là tuyệt đối, mà là một nghệ thuật cân bằng liên tục tiến hóa.