Arbitrum đóng băng 71 triệu USD ETH từ vụ hack Kelp: Tranh luận về tính tập trung bùng nổ

Hội đồng An ninh của Arbitrum đã đóng băng 30.766 ETH (khoảng 71 triệu USD) vào ngày 20 tháng 4 lúc 11:26 PM ET, di chuyển số tiền liên quan đến vụ tấn công cầu nối Kelp DAO sang một ví trung gian mà không ai có thể truy cập nếu không có biểu quyết quản trị đầy đủ. Chín trong số 12 thành viên của hội đồng đã phê duyệt hành động khẩn cấp này sau khi tham khảo ý kiến cơ quan thực thi pháp luật về danh tính của kẻ tấn công.

Việc đóng băng này giúp hồi phục khoảng 25% trong tổng số 292 triệu USD bị đánh cắp từ cầu nối chuỗi chéo của Kelp vào ngày 18 tháng 4, trở thành một trong những can thiệp quy mô lớn nhanh nhất trong lịch sử DeFi. ARB đã tăng 3,24% sau sự kiện này và phản ứng từ các giao thức DeFi lớn phần lớn là ủng hộ. Tuy nhiên, bên ngoài nhóm này, cộng đồng lại có nhiều ý kiến trái chiều. Một số ý kiến cho rằng đây là minh chứng cho việc các mạng Layer 2 thực chất vẫn tập trung, trong khi người ủng hộ lại nhấn mạnh việc để hacker rút 71 triệu USD chỉ để giữ "tính phi tập trung" là không hợp lý.

Cả hai phía đều có lập luận riêng, và sự căng thẳng này chính là nội dung đáng chú ý.

Hội đồng An ninh đã làm gì?

Hội đồng An ninh đã sử dụng multisig khẩn cấp 9 trong 12 để thực hiện đóng băng. Theo hiến pháp của Arbitrum, các hành động khẩn cấp yêu cầu 9 trên 12 thành viên ký xác nhận và chỉ được phép thực hiện khi tài sản người dùng có nguy cơ bị xâm phạm ngay lập tức. Hội đồng xác định rằng kẻ tấn công đang chuyển ETH bị đánh cắp qua Arbitrum One và có thể chuyển sang các chuỗi khác bất cứ lúc nào.

Số tiền bị đóng băng đã được chuyển vào ví trung gian do cơ chế quản trị kiểm soát. Việc sử dụng số tiền này giờ đây phải thông qua biểu quyết của DAO Arbitrum, nghĩa là chủ sở hữu token ARB sẽ quyết định số phận của 71 triệu USD này. Hội đồng không thể tự ý chi tiêu, chuyển hướng hay hoàn trả số tiền.

Tài liệu quản trị của Arbitrum nêu rõ sự khác biệt này. Multisig 9/12 dùng cho khẩn cấp, multisig 7/12 dùng cho nâng cấp định kỳ với độ trễ thời gian. Mọi vấn đề khác đều phải qua quy trình đề xuất DAO thông thường. Việc đóng băng này hoàn toàn thuộc diện khẩn cấp và tuân thủ đúng quy trình theo khung quản trị của Arbitrum.

Cách vụ tấn công Kelp DAO diễn ra

Vào ngày 18 tháng 4, Kelp DAO bị tấn công và mất 116.500 rsETH từ cầu nối LayerZero, với tổng giá trị khoảng 292 triệu USD, tương đương 18% tổng cung rsETH. Đây là vụ khai thác lớn nhất DeFi năm 2026, nguyên nhân xuất phát từ cấu hình xác minh chỉ một node duy nhất (1-of-1). Khi Kelp nhận thông điệp qua giao thức LayerZero, chỉ có một node chịu trách nhiệm xác thực trước khi giải ngân. Kẻ tấn công kiểm soát hai node RPC, sau đó tấn công DDoS để loại node hợp lệ, buộc hệ thống chuyển qua node bị kiểm soát, rồi chèn thông điệp giả mạo qua xác thực.

LayerZero cho biết vụ tấn công do nhóm Lazarus của Triều Tiên, cụ thể là tiểu nhóm TraderTraitor. Nhóm này cũng liên quan đến vụ khai thác Drift Protocol ngày 1/4, khiến tổng thiệt hại DeFi do Lazarus gây ra vượt 575 triệu USD chỉ trong 18 ngày. LayerZero còn chỉ ra Kelp đã phớt lờ cảnh báo về việc nâng cấp cấu hình xác thực và tuyên bố sẽ không ký thông điệp cho bất kỳ dự án nào còn dùng cấu hình 1-of-1.

Số rsETH bị đánh cắp đã di chuyển qua nhiều chuỗi, nhưng 30.766 ETH đã vào Arbitrum One, nơi Hội đồng An ninh kịp thời can thiệp trước khi số tiền thoát khỏi mạng lưới.

Lập luận ủng hộ việc đóng băng

Những người ủng hộ đưa ra lý do: số tiền bị đánh cắp bởi nhóm hacker do nhà nước bảo trợ, có liên quan đến các chương trình vũ khí của Triều Tiên. Cơ quan thực thi pháp luật đã xác định được danh tính kẻ tấn công. Hội đồng có cơ chế hiến pháp để hành động. Nếu không can thiệp, 71 triệu USD có thể sẽ rơi vào tay Triều Tiên chỉ vì lý do "bảo vệ nguyên tắc phi tập trung".

Aave, SparkLend và Fluid đều tự đóng băng các vị thế liên quan rsETH rất nhanh sau khi phát hiện, cho thấy toàn bộ hệ sinh thái DeFi đồng thuận rằng can thiệp là hợp lý trong tình huống này. Việc Arbitrum đóng băng chỉ khác ở quy mô.

Ngoài ra, còn yếu tố uy tín hệ sinh thái. Nếu Arbitrum có khả năng đóng băng tài sản bị đánh cắp mà không làm, mỗi vụ hack tương lai sẽ gửi tín hiệu rằng mạng lưới ưu tiên trung lập hơn bảo vệ người dùng. Điều này là rủi ro lớn với các tổ chức xem xét sử dụng Layer 2.

Lập luận phản đối

Những người phản đối không cho rằng việc thu hồi tiền là xấu, mà cho rằng khả năng đóng băng tài sản (dù sử dụng hợp lý thế nào) mới là vấn đề.

Charles Guillemet, CTO của Ledger, mô tả hành động này phản ánh thực tế thiết kế chứ không phải là ngoại lệ. Ông không cho rằng hội đồng làm sai, mà nhấn mạnh việc đóng băng đã phơi bày cấu trúc quản trị mà đa số người dùng không biết. Một multisig 9/12 có thể đóng băng bất kỳ địa chỉ nào thực chất là một cơ chế kiểm soát tập trung. Dù hôm nay dùng để chặn hacker, ngày mai vẫn có thể áp dụng với bất kỳ ai.

Justin Sun cũng tham gia tranh luận khi quảng bá Tron là "blockchain phi tập trung nhất", nhưng chỉ nên xem là quảng cáo. Tuy nhiên, lập luận gốc vẫn hợp lý: Nếu chỉ cần 9 người thao túng trạng thái mạng lưới nắm giữ hàng tỷ USD, mô hình niềm tin cơ bản đã khác với những gì người dùng Arbitrum tin tưởng.

Tiền lệ này là rõ ràng. Từ nay, mọi yêu cầu đóng băng khác sẽ bị so sánh với vụ này. Nếu kẻ tấn công không phải Lazarus mà là một giao thức DeFi thực hiện giao dịch hợp pháp mà ai đó muốn đảo ngược thì sao? Hoặc khi chính phủ yêu cầu đóng băng vì lệnh trừng phạt thay vì thu hồi tài sản bị đánh cắp? Quyền lực của hội đồng không được giới hạn chỉ trong các trường hợp dễ đồng cảm.

Tiết lộ về bảo mật Layer 2

Thực tế là hầu hết các mạng Layer 2 lớn đều có cấu trúc quản trị tương tự. Multisig 9/12 của Arbitrum không phải ngoại lệ, vì Optimism cũng chạy multisig tương tự và Base hoàn toàn nằm trong hạ tầng của Coinbase. Cho đến khi các mạng này hoàn tất lộ trình "phi tập trung dần", quyền hạn khẩn cấp tập trung vẫn là tính năng, không phải lỗi.

Các mạng Layer 2 tiêu biểu và cơ chế an ninh:

Vụ hack Kelp đã phơi bày sự thật này cho số đông, nhưng thực tế đều được công khai từ trước. Tài liệu quản trị Arbitrum mô tả rõ quyền hạn Hội đồng An ninh, ngưỡng 9/12, và không có gì bị che giấu. Nhưng đa số người dùng không đọc tài liệu quản trị cho đến khi có sự cố.

Số phận 71 triệu USD tiếp theo ra sao?

Số tiền bị đóng băng hiện nằm trong ví trung gian do quản trị kiểm soát. DAO Arbitrum sẽ biểu quyết quyết định xử lý. Các phương án có thể gồm: hoàn trả cho Kelp DAO (để phân phối lại cho người bị ảnh hưởng), giữ lại chờ thêm hướng dẫn từ cơ quan chức năng, hoặc kết hợp cả hai.

Biểu quyết này sẽ được theo dõi sát vì thiết lập tiền lệ cho các sự kiện tương lai. Nếu DAO hoàn trả nhanh gọn, cơ chế khẩn cấp của Hội đồng sẽ được xác nhận là công cụ phục hồi hợp pháp. Nếu bị kéo dài, tranh cãi, sẽ làm suy yếu niềm tin vào khả năng quản trị xử lý sự cố.

Thời gian chính xác cho biểu quyết chưa công bố. Các đề xuất quản trị Arbitrum thường yêu cầu thảo luận vài ngày, bỏ phiếu snapshot, rồi mới thực hiện on-chain. Tuy nhiên, với 71 triệu USD liên quan đến pháp lý và nhiều bên liên quan, quy trình này có thể nhanh hoặc chậm hơn bình thường.

Câu hỏi thường gặp

Hội đồng An ninh Arbitrum có thể đóng băng tài sản bất kỳ ai không?

Về kỹ thuật, hội đồng có thể thực hiện hành động khẩn cấp trên mạng lưới, bao gồm đóng băng địa chỉ. Tuy nhiên, hiến pháp Arbitrum chỉ cho phép khi tài sản người dùng gặp rủi ro trực tiếp và cần 9/12 thành viên được bầu chọn xác nhận. Sau đóng băng, số tiền sẽ do quản trị quyết định bước tiếp theo.

Arbitrum có thực sự phi tập trung nếu 9 người có thể đóng băng tài sản?

Arbitrum đang ở giai đoạn "phi tập trung dần", tức vẫn dựa vào Hội đồng An ninh cho các trường hợp khẩn cấp, song dần chuyển quyền cho DAO. Thành viên hội đồng được chủ sở hữu ARB bầu chọn, tạo lớp minh bạch hơn so với các Layer 2 hoàn toàn tập trung. Tuy nhiên, multisig vẫn là điểm kiểm soát tập trung về mặt kỹ thuật.

Ai đứng sau vụ hack Kelp DAO?

LayerZero cho rằng nhóm Lazarus của Triều Tiên thực hiện vụ hack 292 triệu USD, cụ thể là tiểu nhóm TraderTraitor. Nhóm này cũng gây ra vụ hack Drift Protocol ngày 1/4/2026, tổng thiệt hại DeFi do Lazarus gây ra vượt 575 triệu USD trong chưa đầy ba tuần.

Arbitrum đã thu hồi bao nhiêu tài sản bị hack của Kelp DAO?

30.766 ETH do Hội đồng An ninh Arbitrum đóng băng trị giá khoảng 71 triệu USD, tương đương 25% tổng số bị đánh cắp. Số còn lại đã chuyển qua hơn 20 chuỗi và chưa được thu hồi (tính đến 22/4).

Kết luận

Việc đóng băng của Arbitrum đã thực hiện đúng chức năng: ngăn 71 triệu USD tài sản bị đánh cắp rơi vào ví của hacker. Quy trình minh bạch, tuân thủ hiến pháp và phối hợp với cơ quan chức năng. Chủ sở hữu ARB sẽ quyết định số tiền này, minh bạch hơn nhiều so với quy trình truyền thống.

Tuy nhiên, câu hỏi về tính tập trung vẫn còn đó. Mọi mạng Layer 2 có multisig khẩn cấp đều đối diện vấn đề này. Vụ hack Kelp buộc cộng đồng phải thảo luận công khai. Mạng lưới nào muốn xây dựng niềm tin dài hạn cần hoặc loại bỏ hoàn toàn quyền lực khẩn cấp, hoặc phát triển khung quản trị đủ mạnh để kiểm soát quyền lực này. Hiện tại, Arbitrum đã tiến gần tới tiêu chuẩn này hơn hầu hết đối thủ, nhưng vẫn chưa hoàn toàn đạt được.

Bài viết chỉ nhằm mục đích cung cấp thông tin và không phải là lời khuyên đầu tư. Giao dịch tiền điện tử tiềm ẩn nhiều rủi ro. Hãy tự nghiên cứu trước khi ra quyết định.