Хакер Kelp DAO відмиває $220M , оскільки закінчується вікно для відновлення

Хакер, відповідальний за експлуатацію моста Kelp DAO, перемістив майже всі незаморожені кошти через канали приватності, залишивши лише невеликий баланс у початкових гаманцях.

Резюме

• Експлуатант Kelp DAO відмив майже всі 220 мільйонів доларів, залишивши близько 1,7 мільйона доларів у початкових гаманцях.
• Кошти були переміщені через THORChain, Wasabi, Tornado Cash та Umbra, що зменшує можливості прямого відслідковування зараз.
• $71M замороження Arbitrum залишається найбільшим відновлюваним шматком, з судовими позовами, що наразі очікують на розгляд.

Хакер Kelp DAO відмив близько 220 мільйонів доларів незаморожених коштів, згідно з даними на блокчейні, наведені The Defiant. Кошти були переміщені через THORChain, Wasabi, Tornado Cash та Umbra, що ускладнює пряме відстеження для слідчих.

У звіті описано, що кількість переміщених коштів становить «майже всі» незаморожені кошти. Також зазначено, що «приблизно 1,7 мільйона доларів» залишилось у початкових гаманцях зловмисника. Це створює вузький шлях для прямого відновлення коштів, які раніше не були заморожені.

Експлуатація прослідкована до осіб, пов’язаних із Північною Кореєю

Атака у квітні зняла близько 292 мільйонів доларів з мосту Kelp DAO. Chainalysis повідомила, що зловмисники випустили близько 116 500 rsETH після фальшивої події згоряння, атакуючи поза лінійною інфраструктурою мосту, а не основними смарт-контрактами Kelp DAO.

Інцидентний звіт LayerZero пов’язав атаку з TraderTraitor, групою, пов’язаною з Північною Кореєю, також відомою як UNC4899 і частиною ширшої екосистеми Lazarus. Та сама широка мережа загроз була пов’язана з іншими великими криптоатаками цього року.

Заміорожені кошти залишаються основним шляхом відновлення

Більша частина вкрадених активів не рухалася вільно після атаки. Радник безпеки Arbitrum заморозив понад 30 000 ETH незабаром після експлуатації, створюючи основний пул, що все ще доступний для процесу відновлення.

The Defiant повідомила, що заморожена частина становить близько 71 мільйона доларів. Ця сума наразі пов’язана з юридичними претензіями у США, після того, як родини з несплаченою судовою заборгованістю проти Північної Кореї намагалися отримати контроль над коштами. Решта незаморожених коштів здебільшого переміщена через інструменти приватності.

Ширший шаблон зломів

Як раніше повідомляло crypto.news, атаки, пов’язані з Північною Кореєю, Lazarus, зняли 577 мільйонів доларів з Drift Protocol і KelpDAO у квітні. У тому ж звіті зазначалося, що ці дві атаки склали 76% усіх крадіжок криптовалют, зафіксованих у 2026 році до квітня.

Крім того, Radiant Capital припинить операції після невдачі з відновленням з експлуатації на 50 мільйонів доларів, пов’язаній з акторами, що співпрацюють із Північною Кореєю, як повідомляло crypto.news. Випадок Radiant показав, наскільки повільним може бути відновлення, втрата фінансування та відмивання через Tornado Cash можуть залишити протокол з обмеженими можливостями.

Для Kelp DAO останні оновлення щодо відмивання не закривають усі юридичні або шляхі відновлення. Заміорожені ETH залишаються важливими. Однак незаморожена частина тепер здається набагато складнішою для відновлення через звичайне відстеження адреса за адресою. Цей випадок створює додатковий тиск на операторів мостів, команди DeFi та слідчих діяти швидше, щоб запобігти потраплянню вкрадених коштів у канали приватності.