Onchain Forensics

Arkham Theo Dấu Dòng Tiền Sau Vụ KelpDAO: Từ rsETH Sang ETH

20/04/2026 8 phút đọc Onchain, Crypto Security
Arkham KelpDAO funds flow thumbnail

💸 Tóm tắt nhanh

Nếu bài toán của vụ KelpDAO hôm qua là hack xảy ra bằng cách nào, thì thread mới của Arkham tập trung vào câu hỏi thực dụng hơn nhiều: số tiền đang chạy đi đâu. Câu trả lời không đẹp chút nào. Theo Arkham, attacker không chỉ rút gần $293.7M rsETH rồi ngồi yên. Hắn đang dùng một chuỗi giao thức DeFi như Aave, Compound, KyberSwap, Euler Finance và Wintermute để dần biến đống rsETH đó thành ETH.

Với các vụ exploit lớn, nguyên nhân kỹ thuật luôn là phần gây tranh cãi nhất. Nhưng sau khi tranh cãi qua đi, thứ thị trường thật sự phải theo dõi lại là dòng tiền.

Bởi vì một vụ hack chưa thực sự kết thúc khi tài sản bị lấy đi. Nó chỉ thực sự bước sang giai đoạn nguy hiểm nhất khi hacker bắt đầu rửa, đổi, thế chấp, rút thanh khoản và gom về tài sản dễ bán hơn.

Đó là lý do thread mới của Arkham đáng đọc. Nó không bàn dài về blame game giữa LayerZero và KelpDAO. Nó chỉ làm đúng một việc: vẽ lại đường đi của tiền.

Điều đáng sợ trong các vụ hack lớn không chỉ là “bao nhiêu tiền bị lấy”. Điều đáng sợ là hacker có bao nhiêu cách để biến tài sản bị đánh cắp thành thứ thanh khoản hơn, sạch hơn và khó chặn hơn.

1. Arkham nói hacker đã làm gì?

Theo thread của Arkham, tổng số tiền bị đánh cắp trong vụ KelpDAO vào khoảng $293.7M. Tài sản gốc ở đây là rsETH — liquid restaking token của KelpDAO.

Điểm chính của Arkham là attacker không dừng ở việc nắm giữ rsETH. Hắn nhanh chóng đưa tài sản qua nhiều lớp DeFi khác nhau để mở đường rút ra các tài sản “ngon” hơn:

  • đem $269.74M rsETH vào AaveCompound,
  • rút ra tổng cộng $228.21M WETH và wstETH,
  • đồng thời swap khoảng $15.34M rsETH thành $14.51M ETH qua KyberSwap, Euler Finance và Wintermute,
  • và cuối cùng gom về lượng nắm giữ khoảng $242.18M ETH.

Đây không còn là trạng thái “hacker đang ôm token lạ”. Đây là trạng thái hacker đang chủ động chuyển tài sản đánh cắp sang dạng thanh khoản, phổ biến và có thị trường sâu hơn nhiều.

2. Vì sao việc đẩy rsETH vào Aave và Compound lại đáng chú ý?

Vì đây là một nước đi rất khôn.

Nếu hacker bán thẳng lượng rsETH khổng lồ ra market, tác động giá sẽ cực lớn, thanh khoản sẽ trượt, và ai cũng nhìn thấy rất rõ. Nhưng nếu dùng rsETH như tài sản thế chấp trong các lending protocol, rồi rút ra WETH hoặc wstETH, hacker có thể “bóc” giá trị khỏi tài sản bị đánh cắp mà không cần xả toàn bộ nó ngay lập tức trên thị trường mở.

Nói dễ hiểu hơn: thay vì bán món đồ nóng trực tiếp, hacker đang dùng nó để vay ra thứ dễ bán hơn.

🧠 Đây là điểm cực kỳ đáng để ý

Khi tài sản bị hack còn là rsETH, rủi ro chủ yếu nằm ở peg và thanh khoản của chính token đó. Nhưng khi nó đã được chuyển thành WETH, wstETH hay ETH, rủi ro chuyển sang một pha khác: tài sản trở nên thanh khoản hơn, dễ luân chuyển hơn và khó chặn hơn.

3. Arkham đang cho thấy điều gì về “giai đoạn 2” của vụ hack?

Statement của LayerZero trước đó chủ yếu giải thích vì sao forged message có thể được xác nhận. Thread của Arkham lại cho thấy thứ đến sau đó: quá trình tối ưu hóa tài sản bị đánh cắp.

Và quá trình này có vài đặc điểm rất quen thuộc trong các vụ hack chuyên nghiệp:

  • chia tài sản qua nhiều địa chỉ,
  • đi qua các giao thức lending để rút ra tài sản “sạch” hơn về mặt thanh khoản,
  • trộn giữa collateralized borrowing và direct swaps,
  • và cuối cùng gom về tài sản lõi là ETH.

Điều này rất quan trọng, vì nó cho thấy attacker không hành động kiểu hoảng loạn. Đây là một flow có tính chiến thuật rõ ràng.

4. Vì sao đích đến là ETH lại là chi tiết quan trọng nhất?

Vì ETH là ngôn ngữ chung của cả hệ DeFi.

Nắm giữ rsETH hàng trăm triệu đô nghe rất to, nhưng đó vẫn là một tài sản có độ đặc thù cao. Thanh khoản, độ chấp nhận và khả năng luân chuyển của nó thấp hơn ETH rất nhiều. Còn khi tài sản đã được chuyển phần lớn về ETH, hacker gần như đang giữ một loại “base asset” có thể:

  • chia nhỏ dễ hơn,
  • bridge dễ hơn,
  • swap tiếp dễ hơn,
  • và cuối cùng là laundering dễ hơn.

Nói thẳng: từ góc nhìn theo dõi onchain, lúc hacker còn ôm rsETH là lúc thị trường còn thở được phần nào. Nhưng khi hacker bắt đầu gom về ETH, áp lực theo dõi tăng lên hẳn.

🚨 Chỗ đáng lo nhất

Thread của Arkham cho thấy attacker hiện nắm khoảng $242.18M ETH. Một khi tài sản đã nằm ở ETH thay vì rsETH, câu chuyện không còn là “peg của token bị hack sẽ ra sao”, mà là “bao giờ và bằng cách nào số ETH này sẽ tiếp tục được tẩu tán”.

5. Bài học rút ra từ góc nhìn thị trường là gì?

Có ít nhất ba bài học.

Thứ nhất, vụ hack không kết thúc khi protocol ra statement. Nó chuyển sang một giai đoạn khác: onchain forensics, tracking và ngăn chặn laundering.

Thứ hai, DeFi composability vừa là sức mạnh vừa là vấn đề. Chính việc các giao thức có thể cắm vào nhau rất mượt khiến tài sản bị hack có thể đi từ một liquid restaking token sang lending market, rồi sang swap venues, rồi về ETH trong thời gian rất ngắn.

Thứ ba, rủi ro hệ thống không chỉ nằm ở điểm bị hack ban đầu. Khi tài sản tiếp tục được dùng làm collateral trong các protocol khác, cú sốc có thể lan sang những nơi không trực tiếp bị exploit ngay từ đầu.

6. Thread này bổ sung gì so với câu chuyện LayerZero hôm trước?

Hai mảnh ghép này thực ra bổ sung cho nhau khá rõ.

  • LayerZero cố giải thích tại sao attack có thể xảy ra: single-DVN, RPC poisoning, forged message.
  • Arkham lại giải thích điều không kém phần quan trọng: sau khi forged message thành công, tiền được xoay như thế nào.

Nếu ghép hai câu chuyện lại, ta có bức tranh đầy đủ hơn:

  1. message giả được xác nhận,
  2. rsETH bị rút ra,
  3. rsETH được đưa vào các giao thức lending và swap,
  4. rồi dần dần biến thành ETH.

Đó là flow mà bất kỳ team bảo mật, risk team hay trader nào cũng phải theo dõi sát, vì đây là chỗ cho thấy thiệt hại ban đầu đang được chuyển hóa thành rủi ro thị trường thực sự.

7. Kết luận

Thread của Arkham không cố kể một câu chuyện mới hoàn toàn. Nhưng nó làm rõ phần mà thị trường cần nhất lúc này: dòng tiền đang chạy đi đâu.

Và câu trả lời không hề dễ chịu. Attacker không bị mắc kẹt với rsETH. Hắn đã tìm ra cách dùng chính hạ tầng DeFi để đổi dần tài sản bị hack sang những thứ thanh khoản hơn, dễ sử dụng hơn và khó chặn hơn.

Với các vụ hack lớn, đây luôn là lúc đáng sợ nhất: khi câu chuyện kỹ thuật đã xong, nhưng câu chuyện dòng tiền mới thực sự bắt đầu.

🎯 Chốt một câu

Arkham đang cho thấy vụ KelpDAO không còn là chuyện rsETH bị lấy mất. Nó đã bước sang giai đoạn nguy hiểm hơn: tài sản bị hack đang được DeFi “lọc” dần thành ETH.

Source: Arkham thread

Đọc tiếp Vụ KelpDAO Mất $290M Đang Buộc Cả Đám Cross-Chain Nhìn Lại Một Sự Thật Khó Chịu: Audit Contract Là Chưa Đủ
Xem tất cả bài viết
#Arkham #KelpDAO #Onchain #ETH #DeFi