Arbitrum заморожує 30K ETH у хакерській атаці KelpDAO, оскільки зловмисник перекидає кошти на Bitcoin - CoinJournal

• Arbitrum заморозив 30 766 ETH перед тим, як їх можна було вивести.
• Зловмисник перемістив 75 701 ETH і почав маршрутизувати кошти до Біткоїна.
• Через кілька паралельних потоків відмивається понад 176 мільйонів доларів.

Arbitrum заблокував значну частину коштів, пов’язаних з експлоїтом KelpDAO, навіть коли зловмисник намагається вивести залишки активів за межі доступу.

Рада безпеки Arbitrum підтвердила, що вона заморозила 30 766 ETH, вартість яких на момент дії становила понад 70 мільйонів доларів.

Ці кошти були прив’язані до адреси, пов’язаної з зловмисником KelpDAO, і були заблоковані до того, як їх можна було вивести з мережі.

Захід був здійснений після координації з правоохоронними органами, що свідчить про те, що у правоохоронців вже є сліди щодо особи зловмисника.

Рада безпеки Arbitrum вжила надзвичайних заходів для замороження 30 766 ETH, що зберігаються на адресі в Arbitrum One, пов’язаній з експлоїтом KelpDAO. Рада діяла за участю правоохоронних органів щодо особи зловмисника і, на всіх етапах,…

— Arbitrum (@arbitrum) 21 квітня 2026

Гонка з часом

Блокчейн-розслідувачі, зокрема PeckShield, попереджали, що зловмисник уже намагається перемістити кошти з Arbitrum за допомогою вбудованого мосту.

Якщо б цей переказ був завершений, ETH, ймовірно, приєднався б до набагато більшого пулу викрадених активів, вже обігу на інших ланцюгах.

Завдяки своєчасному втручанню Arbitrum запобіг приблизно 29% викрадених коштів потрапити у канал відмивання. Однак решта активів не була такою щасливою.

Сам експлойт KelpDAO оцінюється приблизно у 290 мільйонів доларів, що робить його одним із найбільших порушень децентралізованих фінансів 2026 року.

Зловмисник швидко діяв після початкового експлойту, розподіляючи кошти між кількома гаманцями та ланцюгами, щоб зменшити сліди.

Відмивання переходить до Біткоїна

Після заморожування зловмисник прискорив спроби перемістити залишки коштів.

Дані показують, що приблизно 75 701 ETH, вартістю близько 175 мільйонів доларів, було переведено на основний мережевий Ethereum.

Звідти кошти почали переміщатися у Біткоїн через децентралізовані протоколи, такі як THORChain, Chainflip і Umbra Cash, які дозволяють прямі крос-ланцюгові обміни без використання централізованих бірж.

#PeckShieldAlert Зловмисник @KelpDAO почав відмивати викрадені кошти (~$176М).

Вони почали мостити невеликі партії коштів з #Ethereum до $BTC через @THORChain, @UmbraCash, @chainflip і @BitTorrent. pic.twitter.com/4cm8dOjTWL

— PeckShieldAlert (@PeckShieldAlert) 21 квітня 2026

Аналітики PeckShield зауважили, що зловмисник залишив у деяких гаманцях лише близько 0,7 ETH, достатньо для покриття транзакційних зборів, тоді як решту коштів він вивів у нові маршрути.

Ця модель відображає високий рівень операційної дисципліни та планування.

Ще 176 мільйонів доларів викрадених коштів активно переміщуються у паралельних транзакціях.

Замість того, щоб відмивати все в одному потоці, зловмисник, ймовірно, керує кількома потоками одночасно.

Такий поетапний підхід зменшує ризик однієї точки відмови і ускладнює процес відновлення.

Чи пов’язана з експлоїтом KelpDAO відома група Lazarus з Північної Кореї?

Масштаб і координація операції привели слідчих до зв’язку експлоїту з групою Lazarus з Північної Кореї, зокрема підгрупою, відомою як TraderTraitor.

Це приписування базується на моделях транзакцій і методах відмивання, що відповідають попереднім операціям, пов’язаним із цією групою.

Lazarus має довгу історію цілеспрямованих атак на крипто-платформи та використання складних крос-ланцюгових стратегій для приховування викрадених коштів.

Використання децентралізованих мостів і швидке конвертування активів, що спостерігається у випадку KelpDAO, тісно відповідає цій схемі.