KelpDAO được cho là đã bị mất hơn 292 triệu USD sau khi bị kẻ tấn công rút sạch tài sản khỏi nhiều giao thức Tài chính phi tập trung (DeFi) trên cả Ethereum và Arbitrum.
Nhà điều tra on-chain ZachXBT đã phát hiện ra vụ việc này, chỉ ra sáu ví do kẻ tấn công kiểm soát đang tích cực dịch chuyển số tiền bị đánh cắp.
Cách mà vụ tấn công KelpDAO diễn ra
Dữ liệu trên blockchain cho thấy các ví của kẻ tấn công đã nhận được khoản cấp vốn ban đầu thông qua Tornado Cash — một dịch vụ trộn coin giúp bảo mật giao dịch — chỉ vài giờ trước khi vụ trộm bắt đầu.
Sau đó, các ví này tương tác với các giao thức DeFi, chấp thuận (approval) và hoán đổi token thông qua KyberSwap và KelpDAO, rồi cuối cùng đổi toàn bộ thành ether (ETH).
“KelpDAO có vẻ như đã bị đánh cắp hơn 280 triệu USD chỉ cách đây một giờ trên Ethereum và Arbitrum. Các địa chỉ tấn công này đều được cấp vốn qua Tornado Cash”, ZachXBT cho biết trên Telegram.
Trong khoảng chưa đầy một giờ, kẻ tấn công đã gom khoảng 75,700 ETH, trị giá xấp xỉ 178 triệu USD theo giá hiện tại, vào một ví duy nhất.
Phần tài sản bị đánh cắp còn lại bao gồm các loại token khác và các vị thế trên Arbitrum. Tại thời điểm viết bài, vẫn chưa ghi nhận bất kỳ giao dịch rút ra nào từ ví tổng hợp này.
Mô hình này cho thấy nhiều khả năng là kẻ tấn công đã chiếm được private-key hơn là khai thác lỗ hổng hợp đồng thông minh của một giao thức cụ thể.
Nạn nhân dường như đã phân bổ vốn lớn vào DeFi trên cả hai blockchain, và kẻ tấn công đã rút, hoán đổi toàn bộ các vị thế về ETH nguyên gốc một cách có hệ thống.
Xu hướng tấn công vào ví “cá mập” ngày càng nhiều
Sự việc này tiếp nối tình trạng gia tăng các vụ lừa đảo phishing và tấn công xã hội nhắm vào các ví có giá trị lớn.
Chỉ trong tháng 01/2026, đã có một nạn nhân của phishing bị mất tới 284 triệu USD, chiếm hơn 70% tổng số thiệt hại từ trộm cắp crypto của tháng đó.
Nếu số tiền 292 triệu USD được xác nhận, đây sẽ là một trong những vụ chiếm đoạt ví cá nhân lớn nhất từ trước đến nay.
Các chuyên gia bảo mật dự kiến sẽ công bố thêm các phân tích dữ liệu on-chain diễn biến chi tiết hơn trong vài giờ tới.
KelpDAO hiện vẫn chưa có phản hồi công khai về vụ việc này, và cũng không trả lời ngay lập tức khi được BeInCrypto liên hệ.
Bên cạnh đó, cũng có báo cáo rằng tài khoản Instagram của nền tảng ra mắt meme coin Solana – Pump.fun – đã bị chiếm quyền kiểm soát.
“Tuyệt đối không nên tin bất kỳ bài đăng nào trên tài khoản Instagram chính thức của Pump.fun. Hãy bỏ qua tất cả bài đăng cho đến khi chúng tôi lấy lại được kiểm soát tài khoản,” đội ngũ cảnh báo.
Tuy nhiên, các nền tảng của Pump.fun vẫn hoạt động bình thường và tài sản người dùng vẫn an toàn.
