Mastermind khai thác Kelp DAO rửa 80 triệu USD qua THORChain trong chiến dịch Cross-chain tinh vi

Tên tội phạm mạng đứng sau vụ khai thác Kelp DAO trị giá 290 triệu USD đã rửa thành công khoảng 80 triệu USD Ethereum bị đánh cắp thông qua giao thức sàn giao dịch phi tập trung của THORChain, đánh dấu một trong những hoạt động rửa tiền lớn nhất trong lịch sử DeFi (Decentralized Finance). Kế hoạch rửa tiền tinh vi này đã đẩy khối lượng giao dịch 24h của THORChain lên mức đáng kinh ngạc 394 triệu USD, tăng hơn 11 lần so với khối lượng giao dịch hàng ngày thông thường dưới 35 triệu USD của giao thức này.

Sự bùng nổ khối lượng giao dịch đột biến trên THORChain cho thấy cách các tội phạm mạng ngày càng tận dụng các giao thức Cross-chain phi tập trung để che giấu nguồn gốc của tiền điện tử bị đánh cắp. Hoạt động cụ thể này thể hiện sự phát triển của các kỹ thuật rửa tiền điện tử vượt ra ngoài các dịch vụ trộn tiền truyền thống như Tornado Cash, với các tác nhân đe dọa hiện đang khai thác các tính năng bảo mật vốn có của các sàn giao dịch phi tập trung để xử lý lượng lớn tiền bất hợp pháp.

Thủ phạm, được sơ bộ liên kết với nhóm Lazarus khét tiếng của Triều Tiên, đã thực hiện cuộc tấn công ban đầu thông qua một hoạt động giả mạo RPC tinh vi nhắm vào cơ sở hạ tầng cầu nối cross-chain LayerZero của Kelp DAO. Những kẻ tấn công đã xâm phạm hai node độc lập chạy trên các cụm riêng biệt, hoán đổi các tệp nhị phân chạy trên các node op-geth, và thực hiện các giao dịch gian lận vượt qua các cấu hình bảo mật không đủ của Kelp chỉ yêu cầu xác minh đơn lẻ thay vì nhiều xác nhận.

Hoạt động rửa tiền thông qua THORChain này đại diện cho một sự thay đổi có tính toán trong phương pháp luận tội phạm. Không giống như các sàn giao dịch tập trung triển khai các giao thức Know Your Customer mạnh mẽ và giám sát giao dịch, kiến trúc phi tập trung của THORChain cho phép swap token Cross-chain ẩn danh mà không cần xác minh danh tính. Khả năng gốc của giao thức trong việc tạo điều kiện trao đổi liền mạch giữa Bitcoin, Ethereum và các tiền điện tử chính khác cung cấp một phương tiện lý tưởng để che giấu nguồn gốc vốn ở quy mô lớn.

Quy mô khổng lồ của hoạt động rửa tiền trên THORChain nhấn mạnh sự tinh vi ngày càng tăng của các hoạt động trộm cắp tiền điện tử được nhà nước bảo trợ. Ethereum hiện đang giao dịch ở mức 2,350.75 USD, tăng 1,67% trong 24 giờ qua, cho thấy hoạt động rửa tiền quy mô lớn chưa tác động đáng kể đến tâm lý thị trường rộng lớn hơn. Tuy nhiên, 80 triệu USD chiếm một phần đáng kể trong khối lượng giao dịch hàng ngày 17,6 tỷ USD của Ethereum, cho thấy tác động tiềm tàng của hoạt động này đến thị trường.

Việc chọn THORChain làm điểm đến rửa tiền tiết lộ sự hiểu biết sâu sắc về các giao thức DeFi (Decentralized Finance) và các đặc điểm hoạt động của chúng. Các pool thanh khoản liên tục và chức năng AMM của THORChain cho phép thực hiện các giao dịch lớn mà không bị trượt giá thường gặp khi giao dịch khối lượng lớn như vậy trên các nền tảng tập trung. Chuyên môn kỹ thuật này phù hợp với các đánh giá tình báo về năng lực không gian mạng của Triều Tiên, vốn đã thể hiện sự tinh vi ngày càng tăng trong các hoạt động DeFi (Decentralized Finance).

Thời điểm của hoạt động rửa tiền này trùng với sự giám sát pháp lý rộng hơn đối với các giao thức cầu nối cross-chain sau nhiều vụ khai thác nổi bật trong suốt năm 2025 và 2026. Sự cố Kelp DAO, ban đầu đổ lỗi cho cơ sở hạ tầng bảo mật của LayerZero trước khi lỗi được quy cho chính các lựa chọn cấu hình của Kelp, đã làm nổi bật các lỗ hổng cơ bản trong các giao thức giao tiếp cross-chain cho phép chuyển tiền khổng lồ qua các mạng blockchain khác nhau.

Phân tích thị trường cho thấy kỹ thuật rửa tiền này khai thác một lỗ hổng quan trọng trong khả năng điều tra pháp lý blockchain hiện tại. Trong khi việc theo dõi giao dịch on-chain vẫn mạnh mẽ trong các mạng blockchain riêng lẻ, các giao thức cross-chain như THORChain tạo ra các điểm mù phân tích mà các tác nhân đe dọa tinh vi có thể khai thác. Thiết kế của giao thức, đốt Token RUNE gốc và đúc tài sản tương đương trên các chuỗi đích, tạo ra các đường dẫn giao dịch phức tạp mà các công cụ phân tích blockchain truyền thống khó truy vết hiệu quả.

Mức tăng đột biến khối lượng 394 triệu USD cũng cho thấy thanh khoản khổng lồ có sẵn trong các sàn giao dịch phi tập trung, cho thấy rằng ngay cả các hoạt động rửa tiền lớn hơn cũng có thể được hấp thụ mà không kích hoạt các bộ ngắt mạch tự động hoặc cảnh báo hoạt động bất thường. Chiều sâu thanh khoản này đặt ra những thách thức liên tục cho các cơ quan quản lý và thực thi pháp luật đang cố gắng giám sát và ngăn chặn rửa tiền điện tử quy mô lớn.

Các công ty bảo mật chuyên nghiệp theo dõi số tiền bị đánh cắp cho biết hoạt động rửa tiền đã sử dụng các cơ chế định thời gian tinh vi, có thể được thiết kế để pha trộn các giao dịch lớn với hoạt động giao dịch hợp pháp trong giờ cao điểm của thị trường. Cách tiếp cận này giảm thiểu khả năng bị phát hiện bởi các hệ thống giám sát tự động đánh dấu các mô hình khối lượng bất thường hoặc quy mô giao dịch so với chuẩn lịch sử.

Việc rửa tiền thành công 80 triệu USD thông qua THORChain trong khi duy trì bảo mật hoạt động đại diện cho một cột mốc đáng lo ngại về sự tinh vi của tội phạm tiền điện tử. Các công cụ thực thi pháp luật truyền thống được thiết kế cho các hệ thống tài chính tập trung tỏ ra không đủ trước các giao thức phi tập trung hoạt động trên nhiều khu vực pháp lý mà không có sự giám sát trung tâm hoặc cơ chế tuân thủ.

Sự cố này củng cố nhu cầu cấp thiết về các biện pháp bảo mật nâng cao trên các giao thức DeFi (Decentralized Finance), đặc biệt là những giao thức tạo điều kiện cho các giao dịch cross-chain. Sự kết hợp của các động lực tài chính đáng kể, khả năng kỹ thuật tinh vi và các cơ hội kinh doanh chênh lệch pháp lý tiếp tục thu hút các nhóm mối đe dọa dai dẳng nâng cao đến hệ sinh thái tiền điện tử.

Khi Ethereum duy trì vị thế là tiền điện tử lớn thứ hai với vốn hóa thị trường 284,1 tỷ USD và 10,98% thị phần thống trị, việc rửa tiền thành công với số tiền đáng kể như vậy thông qua cơ sở hạ tầng phi tập trung làm nổi bật sự phát triển liên tục của tội phạm tài sản kỹ thuật số và nhu cầu tương ứng về các khung bảo mật thích ứng.