Vụ hack KelpDAO — giọt nước tràn ly
Ngày 18/04/2026, hacker tấn công KelpDAO qua cầu nối cross-chain LayerZero, tạo ra 116,500 rsETH từ hư không — trị giá $293 triệu. Đây là vụ hack DeFi lớn nhất năm 2026. Hậu quả lan rộng: Aave mất $8.4 tỷ tiền gửi trong 48 giờ, tổng TVL toàn hệ sinh thái DeFi giảm $13 tỷ.
Nghi phạm số một? Lazarus Group — nhóm hacker được cho là hoạt động dưới sự chỉ đạo của tình báo quân đội Triều Tiên.
Lazarus Group là ai?
Lazarus Group trực thuộc Tổng cục Trinh sát (RGB) — cơ quan tình báo quân sự Triều Tiên. Nhóm này hoạt động từ hơn một thập kỷ, nhưng kể từ 2018 đã chuyển trọng tâm sang đánh cắp tiền mã hóa để tài trợ chương trình vũ khí và tên lửa của Bình Nhưỡng.
Theo Liên Hợp Quốc, từ 2017 đến 2024, Triều Tiên đã đánh cắp khoảng $3.6 tỷ crypto qua 97 vụ tấn công. Riêng năm 2025, con số này là $2 tỷ — chiếm gần 60% tổng số crypto bị hack trên toàn cầu.
Những vụ hack lớn nhất
| Năm | Mục tiêu | Thiệt hại | Phương thức |
|---|---|---|---|
| 2022 | Ronin Bridge (Axie) | $625M | Chiếm private key validator |
| 2025 | Bybit | $1.5 tỷ | Tấn công hạ tầng ký giao dịch |
| 2026 | Drift | $285M | Khai thác lỗ hổng protocol |
| 2026 | KelpDAO | $293M | Giả mạo cross-chain message |
Riêng vụ Bybit ($1.5 tỷ) đã lớn hơn tổng số crypto mà Triều Tiên đánh cắp trong cả năm 2024. Tổng cộng đến nay, Lazarus đã lấy đi hơn $6.75 tỷ — đủ để tài trợ nhiều năm chương trình tên lửa đạn đạo.
Họ tấn công bằng cách nào?
Lazarus không phải hacker "garage" nghiệp dư. Đây là chiến dịch cấp quốc gia với ba chiến thuật chính:
Kỹ thuật xã hội: Giả danh nhà tuyển dụng trên LinkedIn, gửi "bài test code" chứa mã độc. Chiến dịch DEV#POPPER nhắm vào lập trình viên blockchain trên GitHub, WhatsApp.
Tấn công chuỗi cung ứng: Xâm nhập vào công ty phát triển phần mềm, cài backdoor vào sản phẩm hợp pháp trước khi phân phối đến người dùng cuối.
Khai thác bridge: Cầu nối cross-chain là mắt xích yếu nhất — khối lượng tiền lớn, bảo mật thường dựa vào ít validator. KelpDAO dùng cấu hình 1 validator duy nhất — tức chỉ cần hạ 1 điểm là kiểm soát toàn bộ.
Tiền bị đánh cắp đi đâu?
Sau khi hack, Lazarus rửa tiền với tốc độ và quy mô gây sốc. Trong vụ Bybit, hàng trăm triệu đô được chuyển qua mixer (Tornado Cash), bridge cross-chain, và mạng lưới OTC trong vòng 48 giờ. Tiền cuối cùng được quy đổi thành tiền pháp định hoặc tài sản khó truy vết.
FBI, Interpol và nhiều công ty blockchain forensics (Chainalysis, TRM Labs, Elliptic) đang theo dõi, nhưng tỷ lệ thu hồi rất thấp do tốc độ rửa tiền vượt xa khả năng phản ứng.
Bạn rút ra được gì?
Lazarus nhắm vào protocol và sàn giao dịch, không phải ví cá nhân thông thường. Nhưng hiệu ứng lan tỏa (như KelpDAO → Aave) cho thấy ngay cả người dùng không liên quan trực tiếp cũng có thể bị ảnh hưởng.
Một vài nguyên tắc phòng vệ: không tập trung tài sản vào một protocol duy nhất, ưu tiên nền tảng đã được kiểm toán nhiều lần, và luôn nhớ rằng trong DeFi — "not your keys, not your coins" chỉ là lớp bảo vệ đầu tiên, không phải lớp cuối cùng.
Bài viết mang tính chất giáo dục, không phải lời khuyên đầu tư.