Arbitrum заморожує 30K ETH у хакінгу KelpDAO, оскільки зловмисник перекидає кошти на Bitcoin - CoinJournal

• Arbitrum заблокував 30 766 ETH перед тим, як їх можна було вивести.
• Зловмисник перемістив 75 701 ETH і почав маршрутизувати кошти до Біткоїна.
• Через кілька паралельних потоків відмивається понад 176 мільйонів доларів.

Arbitrum заблокував значну частину коштів, пов’язаних з експлойтом KelpDAO, навіть коли зловмисник намагається вивести залишки активів за межі мережі.

Рада безпеки Arbitrum підтвердила, що заблокувала 30 766 ETH, вартість яких на момент дії становила понад 70 мільйонів доларів.

Ці кошти були прив’язані до адреси, пов’язаної з зловмисником KelpDAO, і були заблоковані до того, як їх можна було вивести з мережі.

Захід був здійснений після координації з правоохоронними органами, що свідчить про можливі вже наявні сліди щодо особи зловмисника.

Рада безпеки Arbitrum вжила надзвичайних заходів для блокування 30 766 ETH, що зберігаються на адресі в Arbitrum One, пов’язаній з експлойтом KelpDAO. Рада діяла за участю правоохоронних органів щодо особи зловмисника і, в будь-який час,…

— Arbitrum (@arbitrum) 21 квітня 2026

Гонка з часом

Блокчейн-розслідувачі, зокрема PeckShield, попереджали, що зловмисник вже намагається перемістити кошти з Arbitrum за допомогою вбудованого мосту.

Якщо б цей переказ був завершений, ETH, ймовірно, приєднався б до набагато більшого пулу викрадених активів, що вже циркулюють на інших ланцюгах.

Завдяки своєчасному втручанню Arbitrum запобіг приблизно 29% викрадених коштів потрапити у канал відмивання. Однак решта активів не була такою щасливою.

Сам експлойт KelpDAO оцінюється приблизно у 290 мільйонів доларів, що робить його одним із найбільших порушень у сфері децентралізованих фінансів 2026 року.

Зловмисник швидко діяв після початкового експлойту, розподіляючи кошти між кількома гаманцями та ланцюгами, щоб зменшити сліди.

Відмивання переходить у Біткоїн

Після блокування зловмисник прискорив зусилля щодо переміщення залишків коштів.

Дані показують, що приблизно 75 701 ETH, вартістю близько 175 мільйонів доларів, було переведено на основний мережевий рівень Ethereum.

Звідти кошти почали переміщатися у Біткоїн через децентралізовані протоколи, такі як THORChain, Chainflip і Umbra Cash, які дозволяють прямі крос-ланцюгові обміни без використання централізованих бірж.

#PeckShieldAlert Зловмисник @KelpDAO почав відмивати викрадені кошти (~$176М).

Вони почали мостити невеликі партії коштів з #Ethereum до $BTC через @THORChain, @UmbraCash, @chainflip і @BitTorrent. pic.twitter.com/4cm8dOjTWL

— PeckShieldAlert (@PeckShieldAlert) 21 квітня 2026

Аналітики PeckShield зауважили, що зловмисник залишив у деяких гаманцях лише близько 0,7 ETH, достатньо для покриття транзакційних зборів, тоді як решту коштів він вивів у нові маршрути.

Ця модель відображає високий рівень операційної дисципліни та планування.

Ще 176 мільйонів доларів викрадених коштів також активно переміщуються у паралельних транзакціях.

Замість того, щоб відмивати все в одному потоці, зловмисник, ймовірно, керує кількома потоками одночасно.

Такий поетапний підхід зменшує ризик однієї точки відмови і ускладнює процес відновлення.

Чи пов’язана з експлойтом KelpDAO відома група Lazarus з Північної Кореї?

Масштаб і координація операції змусили слідчих припустити, що експлойт пов’язаний із групою Lazarus з Північної Кореї, зокрема підгрупою відомою як TraderTraitor.

Це приписування базується на моделях транзакцій і методах відмивання, що відповідають попереднім операціям, пов’язаним із цією групою.

Lazarus має довгу історію цілеспрямованих атак на крипто-платформи та використання складних крос-ланцюгових стратегій для приховування викрадених коштів.

Використання децентралізованих мостів і швидке конвертування активів, що спостерігається у випадку KelpDAO, тісно відповідає цій схемі.