Le hacker de Kelp DAO blanchit $220M alors que la fenêtre de récupération se ferme

Le hacker derrière l'exploit du pont Kelp DAO a déplacé presque tous les fonds non gelés via des canaux de confidentialité, ne laissant qu'un petit solde dans les portefeuilles originaux.

Résumé

• L'exploitant de Kelp DAO a blanchi près de 220 millions de dollars, laissant environ 1,7 million de dollars dans les portefeuilles originaux.
• Les fonds ont été transférés via THORChain, Wasabi, Tornado Cash et Umbra, réduisant désormais les options de traçage direct.
• La $71M gel de Arbitrum reste la plus grande part récupérable, avec des revendications judiciaires en cours contre elle.

Le hacker de Kelp DAO a blanchi environ 220 millions de dollars de fonds non gelés, selon des données en chaîne citées par The Defiant. Les fonds ont été transférés via THORChain, Wasabi, Tornado Cash et Umbra, compliquant le traçage direct pour les enquêteurs.

Le rapport décrit la somme transférée comme « presque tout » des fonds non gelés. Il indique également qu’« environ 1,7 million de dollars » restent dans les portefeuilles originaux de l’attaquant. Cela laisse une voie étroite pour la récupération directe des fonds qui n’ont pas été gelés plus tôt.

L’exploitation tracée jusqu’à des acteurs liés à la Corée du Nord

L’attaque d’avril a drainé environ 292 millions de dollars du pont Kelp DAO. Chainalysis a indiqué que les attaquants ont libéré environ 116 500 rsETH lors d’un faux événement de brûlage après avoir ciblé l’infrastructure du pont hors chaîne, et non les contrats intelligents principaux de Kelp DAO.

Le rapport d’incident de LayerZero a lié l’attaque à TraderTraitor, un groupe lié à la Corée du Nord également suivi sous le nom UNC4899 et faisant partie de l’écosystème Lazarus plus large. Le même réseau de menaces a été associé à d’autres grandes attaques cryptographiques cette année.

Les fonds gelés restent la principale voie de récupération

Une grande partie des actifs volés ne s’est pas déplacée librement après l’attaque. Le Conseil de sécurité d’Arbitrum a gelé plus de 30 000 ETH peu après l’exploitation, créant le principal pool encore accessible pour un processus de récupération.

The Defiant a rapporté que la partie gelée représente environ 71 millions de dollars. Cette somme est désormais liée à des revendications légales aux États-Unis, après que des familles ayant des jugements impayés contre la Corée du Nord ont cherché à prendre le contrôle des fonds. Les fonds non gelés restants ont largement été transférés via des outils de confidentialité.

Modèle plus large de piratage

Comme déjà rapporté par crypto.news, les attaques liées à Lazarus, associées à la Corée du Nord, ont drainé 577 millions de dollars de Drift Protocol et KelpDAO en avril. Le même rapport indiquait que ces deux attaques représentaient 76 % de tous les vols de crypto enregistrés en 2026 jusqu’en avril.

De plus, Radiant Capital va mettre fin à ses opérations après avoir échoué à récupérer 50 millions de dollars lors d’un exploit lié à des acteurs alignés avec la Corée du Nord, comme l’a rapporté crypto.news. L’affaire Radiant a montré à quel point la récupération peut être lente, avec des fonds perdus et du blanchiment via Tornado Cash pouvant laisser un protocole avec des options limitées.

Pour Kelp DAO, la dernière mise à jour sur le blanchiment ne ferme pas toutes les voies légales ou de récupération. L’ETH gelé reste important. Cependant, la partie non gelée semble désormais beaucoup plus difficile à récupérer par un traçage normal adresse par adresse. L’affaire met une pression accrue sur les opérateurs de ponts, les équipes DeFi et les enquêteurs pour agir avant que les fonds volés n’entrent dans des routes de confidentialité.