Arbitrum заморожує 30K ETH у хакінгу KelpDAO, оскільки зловмисник перекидає кошти на Bitcoin - CoinJournal

• Arbitrum заблокував 30 766 ETH перед тим, як їх можна було вивести.
• Зловмисник перемістив 75 701 ETH і почав маршрутизувати кошти до Біткоїна.
• Більше $176 мільйона відмиваються через кілька паралельних потоків.

Arbitrum заблокував значну частину коштів, пов’язаних із зломом KelpDAO, навіть коли зловмисник намагається вивести залишки активів за межі.

Рада безпеки Arbitrum підтвердила, що заблокувала 30 766 ETH, вартість яких на момент дії становила понад $70 мільйон.

Ці кошти були прив’язані до адреси, пов’язаної із зломщиком KelpDAO, і були заблоковані до того, як їх можна було вивести з мережі.

Захід був здійснений після координації з правоохоронними органами, що свідчить про можливі вже наявні сліди щодо особи зловмисника.

Рада безпеки Arbitrum вжила надзвичайних заходів для блокування 30 766 ETH, що зберігаються на адресі в Arbitrum One, пов’язаній із зломом KelpDAO. Рада діяла за участю правоохоронних органів щодо особи зловмисника і, в будь-який час,…

— Arbitrum (@arbitrum) 21 квітня 2026

Гонка з часом

Блокчейн-розслідувачі, зокрема PeckShield, попереджали, що зловмисник уже намагається перемістити кошти з Arbitrum за допомогою вбудованого мосту.

Якщо б цей переказ був завершений, ETH, ймовірно, приєднався б до набагато більшого пулу викрадених активів, вже обігу на інших ланцюгах.

Завдяки своєчасному втручанню Arbitrum запобіг приблизно 29% викрадених коштів потрапити у канал відмивання. Однак решта активів не була такою щасливою.

Злом KelpDAO оцінюється приблизно в $290 мільйонів, що робить його одним із найбільших порушень у сфері децентралізованих фінансів 2026 року.

Зловмисник швидко діяв після початкового зламу, розподіляючи кошти між кількома гаманцями та ланцюгами, щоб зменшити сліди.

Відмивання переходить у Біткоїн

Після блокування зловмисник прискорив спроби перемістити залишки коштів.

Дані показують, що приблизно 75 701 ETH, вартістю близько $175 мільйонів, було переведено на основний мережевий Ethereum.

Звідти кошти почали переміщатися у Біткоїн через децентралізовані протоколи, такі як THORChain, Chainflip і Umbra Cash, які дозволяють прямі крос-ланцюгові обміни без використання централізованих бірж.

#PeckShieldAlert Зломщик @KelpDAO почав відмивати викрадені кошти (~$176М).

Вони почали мостити невеликі партії коштів з #Ethereum до $BTC через @THORChain, @UmbraCash, @chainflip і @BitTorrent. pic.twitter.com/4cm8dOjTWL

— PeckShieldAlert (@PeckShieldAlert) 21 квітня 2026

Аналітики PeckShield зауважили, що зловмисник залишив у деяких гаманцях лише близько 0,7 ETH, достатньо для покриття транзакційних зборів, тоді як решту коштів він вивів у нові маршрути.

Ця схема свідчить про високий рівень операційної дисципліни та планування.

Ще одна частина викрадених коштів у розмірі $176 мільйонів також активно переміщується у паралельних транзакціях.

Замість того, щоб відмивати все в одному потоці, зловмисник, здається, веде кілька потоків одночасно.

Такий поетапний підхід зменшує ризик однієї точки відмови і ускладнює процес відновлення.

Чи пов’язана злом KelpDAO із групою Lazarus з Північної Кореї?

Масштаб і координація операції привели слідчих до висновку, що злом пов’язаний із групою Lazarus з Північної Кореї, зокрема підгрупою, відомою як TraderTraitor.

Це приписування базується на моделях транзакцій і методах відмивання, що відповідають попереднім операціям, пов’язаним із цією групою.

Lazarus має довгу історію цілеспрямованих атак на криптоплатформи та використання складних крос-ланцюгових стратегій для приховування викрадених коштів.

Використання децентралізованих мостів і швидке конвертування активів, що спостерігається у випадку KelpDAO, тісно відповідає цій схемі.