Kelp DAO hacker rửa tiền $220M khi cửa sổ phục hồi đóng lại

Hacker đứng sau vụ khai thác cầu Kelp DAO đã chuyển gần như toàn bộ số tiền chưa bị phong tỏa qua các kênh riêng tư, chỉ còn lại một số nhỏ trong các ví ban đầu.

Tổng quan

• Kẻ khai thác Kelp DAO đã rửa gần như toàn bộ 220 triệu đô la, còn khoảng 1,7 triệu đô la trong các ví ban đầu.
• Số tiền đã chuyển qua THORChain, Wasabi, Tornado Cash và Umbra, làm giảm khả năng truy vết trực tiếp hiện nay.
• $71M lệnh phong tỏa của Arbitrum vẫn là phần lớn có thể thu hồi, với các yêu cầu pháp lý đang chờ xử lý đối với nó.

Hacker của Kelp DAO đã rửa khoảng 220 triệu đô la trong số tiền chưa bị phong tỏa, theo dữ liệu trên chuỗi được The Defiant trích dẫn. Số tiền đã chuyển qua THORChain, Wasabi, Tornado Cash và Umbra, khiến việc truy vết trực tiếp trở nên khó khăn hơn cho các nhà điều tra.

Báo cáo mô tả số tiền đã chuyển là “gần như toàn bộ” số tiền chưa bị phong tỏa. Nó cũng nói rằng “khoảng 1,7 triệu đô la” còn lại trong các ví của kẻ tấn công ban đầu. Điều này tạo ra một con đường hẹp để thu hồi trực tiếp số tiền chưa bị phong tỏa trước đó.

Khai thác truy vết liên quan đến các đối tượng liên kết với Triều Tiên

Vụ tấn công tháng Tư đã rút khoảng 292 triệu đô la từ cầu của Kelp DAO. Chainalysis cho biết các kẻ tấn công đã phát hành khoảng 116.500 rsETH sau một sự kiện đốt giả mạo sau khi nhắm vào hạ tầng cầu ngoài chuỗi, không phải các hợp đồng thông minh cốt lõi của Kelp DAO.

Báo cáo của LayerZero liên kết vụ tấn công với TraderTraitor, một nhóm liên kết với Triều Tiên còn được theo dõi là UNC4899 và là một phần của hệ sinh thái Lazarus rộng lớn hơn. Cũng chính mạng lưới đe dọa này đã bị liên kết với các vụ tấn công lớn khác trong năm nay.

Số tiền phong tỏa vẫn là con đường chính để thu hồi

Phần lớn tài sản bị đánh cắp đã không di chuyển tự do sau vụ tấn công. Hội đồng Bảo mật của Arbitrum đã phong tỏa hơn 30.000 ETH ngay sau vụ khai thác, tạo ra quỹ chính vẫn trong tầm với của quá trình thu hồi.

The Defiant đưa tin phần bị phong tỏa khoảng 71 triệu đô la. Số tiền này hiện đang bị ràng buộc bởi các yêu cầu pháp lý tại Mỹ, sau khi các gia đình có phán quyết chưa thi hành chống lại Triều Tiên tìm cách kiểm soát số tiền này. Các số tiền còn lại chưa bị phong tỏa phần lớn đã chuyển qua các công cụ riêng tư.

Mô hình tấn công rộng hơn

Như đã báo cáo trước đó bởi crypto.news, các vụ tấn công liên kết với Triều Tiên của Lazarus đã rút 577 triệu đô la từ Drift Protocol và KelpDAO trong tháng Tư. Cũng theo báo cáo đó, hai vụ tấn công này chiếm 76% tổng số vụ trộm cắp crypto được theo dõi trong năm 2026 tính đến tháng Tư.

Hơn nữa, Radiant Capital sẽ dừng hoạt động sau khi không thể thu hồi được 50 triệu đô la từ một vụ khai thác liên kết với các đối tượng liên kết với Triều Tiên, như crypto.news đã đưa tin. Trường hợp của Radiant cho thấy quá trình thu hồi chậm, mất nguồn vốn và rửa tiền qua Tornado Cash có thể khiến một giao thức bị hạn chế các lựa chọn.

Đối với Kelp DAO, cập nhật về rửa tiền mới nhất này không đóng tất cả các con đường pháp lý hoặc thu hồi. ETH bị phong tỏa vẫn rất quan trọng. Tuy nhiên, phần chưa bị phong tỏa hiện dường như khó thu hồi hơn nhiều qua việc truy vết theo địa chỉ thông thường. Trường hợp này tạo thêm áp lực lên các nhà vận hành cầu, các nhóm DeFi và các nhà điều tra để hành động trước khi số tiền bị đánh cắp vào các tuyến đường riêng tư.