O hacker do Kelp DAO lava $220M à medida que se aproxima o encerramento da janela de recuperação

O hacker por trás da exploração da ponte Kelp DAO moveu quase todos os fundos não congelados através de canais de privacidade, deixando apenas um pequeno saldo nas carteiras originais.

Resumo

• O explorador da Kelp DAO lavou quase todos os 220 milhões de dólares, deixando cerca de 1,7 milhões de dólares nas carteiras originais.
• Os fundos foram transferidos através de THORChain, Wasabi, Tornado Cash e Umbra, reduzindo agora as opções de rastreamento direto.
• O $71M congelamento da Arbitrum permanece como a maior fatia recuperável, com reivindicações judiciais pendentes contra ela.

O hacker da Kelp DAO lavou cerca de 220 milhões de dólares em fundos não congelados, de acordo com dados on-chain citados pelo The Defiant. Os fundos foram transferidos através de THORChain, Wasabi, Tornado Cash e Umbra, dificultando o rastreamento direto para os investigadores.

O relatório descreveu a quantia transferida como “quase toda” a quantidade de fundos não congelados. Também afirmou que “aproximadamente 1,7 milhões de dólares” permanecem nas carteiras originais do atacante. Isso deixa um caminho estreito para a recuperação direta dos fundos que não foram congelados anteriormente.

Exploração rastreada até atores ligados à Coreia do Norte

O ataque de abril drenou cerca de 292 milhões de dólares da ponte da Kelp DAO. A Chainalysis afirmou que os atacantes liberaram cerca de 116.500 rsETH após um evento de queima falsa, após atacar a infraestrutura da ponte fora da cadeia, não os contratos inteligentes principais da Kelp DAO.

O relatório de incidente da LayerZero vinculou o ataque ao TraderTraitor, um grupo ligado à Coreia do Norte também rastreado como UNC4899 e parte do ecossistema Lazarus mais amplo. A mesma rede de ameaças mais ampla foi relacionada a outros grandes ataques de criptomoedas neste ano.

Fundos congelados continuam sendo a principal rota de recuperação

Uma grande parte dos ativos roubados não se moveu livremente após o ataque. O Conselho de Segurança da Arbitrum congelou mais de 30.000 ETH logo após a exploração, criando o principal pool ainda acessível a um processo de recuperação.

O The Defiant relatou que a porção congelada é de cerca de 71 milhões de dólares. Essa soma agora está vinculada a reivindicações legais nos EUA, após famílias com sentenças não pagas contra a Coreia do Norte buscarem o controle dos fundos. Os fundos não congelados restantes foram amplamente transferidos através de ferramentas de privacidade.

Padrão mais amplo de ataques

Como relatado anteriormente pelo crypto.news, ataques ligados à Coreia do Norte, do grupo Lazarus, drenaram 577 milhões de dólares do Drift Protocol e da KelpDAO em abril. O mesmo relatório afirmou que esses dois ataques representaram 76% de todo o roubo de criptomoedas rastreado em 2026 até abril.

Além disso, a Radiant Capital encerrará suas operações após não conseguir recuperar-se de uma exploração de 50 milhões de dólares vinculada a atores alinhados à Coreia do Norte, conforme relatado pelo crypto.news. O caso da Radiant mostrou como a recuperação lenta, fundos perdidos e lavagem através do Tornado Cash podem deixar um protocolo com opções limitadas.

Para a Kelp DAO, a última atualização sobre lavagem de dinheiro não fecha todas as rotas legais ou de recuperação. O ETH congelado continua sendo importante. No entanto, a porção não congelada agora parece muito mais difícil de recuperar através de rastreamento normal de endereço por endereço. O caso aumenta a pressão sobre operadores de pontes, equipes de DeFi e investigadores para agirem antes que os fundos roubados entrem em rotas de privacidade.