Хакер Kelp DAO отмывает $220M по мере закрытия окна восстановления

Хакер, стоящий за взломом моста Kelp DAO, переместил почти все размороженные средства через каналы конфиденциальности, оставив только небольшой баланс в исходных кошельках.

Резюме

• Взломщик Kelp DAO отмылил почти все 220 миллионов долларов, оставив около 1,7 миллиона долларов в исходных кошельках.
• Средства были перемещены через THORChain, Wasabi, Tornado Cash и Umbra, что усложняет прямое отслеживание сейчас.
• $71M заморозка Arbitrum остается крупнейшей доступной для возврата частью, по ней сейчас ведутся судебные претензии.

Хакер Kelp DAO отмылил около 220 миллионов долларов незамороженных средств, согласно данным на блокчейне, цитируемым The Defiant. Средства перемещались через THORChain, Wasabi, Tornado Cash и Umbra, что усложняет прямое отслеживание для следователей.

В отчёте было указано, что сумма перемещённых средств — «практически все» незамороженные средства. Также сообщалось, что «примерно 1,7 миллиона долларов» остаётся в исходных кошельках злоумышленника. Это оставляет узкий путь для прямого возврата средств, которые не были заморожены ранее.

Взлом прослежен до лиц, связанных с Северной Кореей

Апрельская атака вывела около 292 миллионов долларов с моста Kelp DAO. Chainalysis заявил, что злоумышленники выпустили около 116 500 rsETH после фальшивого события сжигания, атаковав инфраструктуру офф-чейн моста, а не основные смарт-контракты Kelp DAO.

Отчёт LayerZero связал инцидент с TraderTraitor, группой, связанной с Северной Кореей, также отслеживаемой как UNC4899 и входящей в более широкий экосистему Lazarus. Эта же сеть угроз связана с другими крупными криптоатаками в этом году.

Замороженные средства остаются основным путём восстановления

Большая часть украденных активов не перемещалась свободно после атаки. Совет безопасности Arbitrum заморозил более 30 000 ETH вскоре после взлома, создав основной пул, который всё ещё доступен для процесса возврата.

The Defiant сообщил, что замороженная часть составляет около 71 миллиона долларов. Эта сумма сейчас связана с судебными исками в США, после того как семьи с неоплаченными судебными решениями против Северной Кореи потребовали контроль над средствами. Остальные незамороженные средства в основном перемещены через инструменты конфиденциальности.

Общий паттерн взлома

Как ранее сообщалось crypto.news, атаки, связанные с Северной Кореей и группой Lazarus, вывели 577 миллионов долларов с Drift Protocol и KelpDAO в апреле. В том же отчёте говорилось, что эти две атаки составили 76% всех зафиксированных краж в криптовалюте в 2026 году по апрель.

Более того, Radiant Capital прекратит деятельность после неудачи в возврате средств после взлома на 50 миллионов долларов, связанного с лицами, связанными с Северной Кореей, как сообщало crypto.news. Этот случай показал, насколько медленным может быть восстановление, потеря средств и отмывание через Tornado Cash, оставляя протокол с ограниченными возможностями.

Для Kelp DAO последняя информация о отмывании не закрывает все юридические или восстановительные пути. Замороженные ETH остаются важными. Однако, незамороженная часть теперь кажется значительно труднее восстановить через обычное отслеживание по адресам. Этот случай оказывает давление на операторов мостов, команды DeFi и следователей, чтобы действовать до того, как украденные средства попадут в каналы конфиденциальности.