Arbitrum замораживает 30K ETH после взлома KelpDAO, злоумышленник переводит средства в Биткоин - CoinJournal

• Arbitrum заморозил 30 766 ETH, прежде чем их удалось вывести через мост.
• Злоумышленник перевел 75 701 ETH и начал маршрутизировать средства в Bitcoin.
• Через несколько параллельных потоков отмывается более 176 миллионов долларов.

Arbitrum заморозил значительную часть средств, связанных с эксплойтом KelpDAO, даже несмотря на то, что злоумышленник продолжает перемещать оставшиеся активы вне досягаемости.

Совет безопасности Arbitrum подтвердил, что он заморозил 30 766 ETH, стоимостью более 70 миллионов долларов на момент действия.

Эти средства были связаны с адресом, ассоциированным с злоумышленником KelpDAO, и были заблокированы до того, как их удалось вывести из сети.

Интервенция произошла после координации с правоохранительными органами, что говорит о том, что у властей, возможно, уже есть зацепки по личности злоумышленника.

Совет безопасности Arbitrum принял экстренные меры по заморозке 30 766 ETH, находящихся на адресе в Arbitrum One, связанном с эксплойтом KelpDAO. Совет действовал с учетом мнения правоохранительных органов относительно личности злоумышленника и, в любой момент,…

— Arbitrum (@arbitrum) 21 апреля 2026 г.

Гонка со временем

Блокчейн-следователи, включая PeckShield, отметили, что злоумышленник уже пытался переместить средства с Arbitrum через нативный мост.

Если бы эта транзакция была завершена, ETH, скорее всего, присоединился бы к гораздо большему пулу украденных активов, уже находящихся в обращении на других цепочках.

Благодаря своевременному вмешательству Arbitrum предотвратил попадание примерно 29% украденных средств в канал отмывки. Однако оставшиеся активы не были так удачливы.

Сам эксплойт KelpDAO оценивается примерно в 290 миллионов долларов, что делает его одним из крупнейших взломов децентрализованных финансов в 2026 году.

Злоумышленник быстро среагировал после первоначального взлома, разделив средства по нескольким кошелькам и цепочкам, чтобы снизить отслеживаемость.

Отмывание переходит в Bitcoin

После заморозки злоумышленник ускорил попытки переместить оставшиеся средства.

Данные показывают, что примерно 75 701 ETH, стоимостью около 175 миллионов долларов, было переведено на основную сеть Ethereum.

Оттуда средства начали перемещаться в Bitcoin через децентрализованные протоколы, такие как THORChain, Chainflip и Umbra Cash, которые позволяют осуществлять прямые кросс-чейн обмены без использования централизованных бирж.

#PeckShieldAlert Злоумышленник @KelpDAO начал отмывать украденные средства (~176 млн долларов).

Они начали мостить небольшие партии средств с #Ethereum на $BTC через @THORChain, @UmbraCash, @chainflip и @BitTorrent. pic.twitter.com/4cm8dOjTWL

— PeckShieldAlert (@PeckShieldAlert) 21 апреля 2026 г.

Аналитики PeckShield отметили, что злоумышленник оставил в некоторых кошельках всего около 0,7 ETH, достаточно для оплаты транзакционных сборов, в то время как остальное выводилось на новые маршруты.

Этот шаблон отражает высокий уровень операционной дисциплины и планирования.

Еще 176 миллионов долларов украденных средств также активно перемещаются параллельными транзакциями.

Вместо того чтобы отмывать все в одном потоке, злоумышленник, похоже, ведет несколько потоков одновременно.

Такой поэтапный подход снижает риск единой точки отказа и усложняет попытки восстановления.

Связана ли группа Lazarus из Северной Кореи с эксплойтом KelpDAO?

Масштаб и координация операции привели следователей к выводу, что эксплойт связан с группой Lazarus из Северной Кореи, в частности с подгруппой, известной как TraderTraitor.

Это связывается с паттернами транзакций и методами отмывки, которые совпадают с предыдущими операциями, связанными с этой группой.

Lazarus имеет долгую историю атак на криптоплатформы и использования сложных кросс-чейн стратегий для сокрытия украденных средств.

Использование децентрализованных мостов и быстрой конвертации активов, наблюдаемое в случае KelpDAO, очень похоже на этот шаблон.