Hack de Kelp DAO : l’attaquant vide près de 293 millions de dollars en ETH, ne laissant que des fonds gelés

L'attaquant responsable du piratage d'environ 293 millions de dollars de Kelp DAO aurait exécuté une opération de blanchiment rapide, transférant la quasi-totalité de l'ETH détourné hors des activités de trading statistiques quelques jours après le vol. Cela a considérablement réduit les options de récupération potentielles aux seuls fonds gelés restants sous la gouvernance de sécurité d'Arbitrum.

Mouvement Rapide des Fonds Volés

Le suivi de la blockchain a indiqué que l'attaquant avait commencé à distribuer les fonds volés mardi, seulement quelques jours après l'exploitation (le samedi, environ 116 500 Ether restaked (rsETH) ayant été siphonné du protocole de pont LayerZero de Kelp DAO). Les dépôts volés s'élevaient à environ 290 à 293 millions de dollars à ce moment-là. L'attaquant a commencé par regrouper environ 75 700 ETH dans de nouveaux portefeuilles, pour une valeur marchande d'environ 175 millions de dollars à l'époque. Cette étape, courante au début des exploits, vise à déconnecter la transaction d'exploitation du processus de blanchiment. L'argent a ensuite été acheminé à travers plusieurs états de trésorerie cloisonnés, utilisant une gamme d'outils décentralisés de confidentialité et de liquidité dans le but de masquer la trace des transactions et la piste de propriété.

Utilisation de THORChain et d'Outils de Confidentialité

Une grande partie du blanchiment aurait transité par THORChain, un réseau de liquidité inter-chaînes qui facilite les échanges entre des chaînes disparates sans nécessiter de contreparties centrales. Basé sur l'analyse de la blockchain, l'attaquant aurait échangé une grande partie de l'Ether contre du Bitcoin (BTC) sur la plateforme. Cette activité intense, qui a généré des milliards de dollars (211 % de ROI) en frais de transaction pour le protocole (IOU, USDT et USDC), a démontré comment l'infrastructure sans permission de la liquidité décentralisée fongible peut être exploitée pour des volumes illicites élevés. Une estimation de la valeur des frais de cette activité (environ 910 000 dollars) en souligne l'impact. Même après THORChain, une partie des fonds a été envoyée via un autre protocole de mixage appelé Umbra, qui est construit à l'aide de technologie confidentielle. Cette couche supplémentaire d'obscurcissement a rendu plus difficile le suivi des fonds par les enquêteurs et les sociétés d'analyse. Au jeudi, les flux d'informations de renseignement on-chain d'Arkham ont révélé que la plupart des fonds du portefeuille initialement identifié de l'attaquant avaient été vidés, suggérant que sa "saga de blanchiment d'argent" était presque achevée.

Signes d'une Stratégie de Sortie Structurée

Les plateformes de renseignement on-chain comme Arkham ont trouvé que les schémas de mouvement étaient caractéristiques d'un transfert plutôt que d'une conservation à long terme. Au lieu de garder l'argent volé dans des portefeuilles identifiables, ce qui pourrait déclencher un effort de récupération collaboratif contre l'attaquant, l'argent a été consolidé, transformé en différents actifs et passé par de nombreux comptes de détention intermédiaires, le tout en très peu de temps. Faisant référence au rythme rapide et à la conception des transactions, les analystes ont souligné que les transactions semblaient être effectuées dans le but d'"encaisser" plutôt que de manipuler le marché ou de négocier une rançon.

Fenêtre de Récupération Limitée : Les Fonds Gelés d'Arbitrum

Tous les actifs volés n'ont pas été convertis et sont encore gelés. Le conseil de sécurité d'Arbitrum a gelé environ 30 766 ETH après leur repérage sur Binance. Ces actifs ont été transférés dans un portefeuille intermédiaire sous le contrôle de la gouvernance et ne peuvent pas être déplacés pour le moment (sans l'approbation de la gouvernance au niveau du protocole). Cette tranche gelée est désormais la plus grande partie récupérable de l'exploit, le reste de l'ETH volé étant déjà passé par sa propre série de mixeurs et de swaps inter-chaînes, masquant davantage son origine.

Comment l'Exploit est Survenu

L'attaque visait Kelp DAO, un protocole de restaking utilisant des dérivés de liquid staking. En exploitant des failles dans son système de pont rsETH interopérable avec LayerZero, l'attaquant a pu retirer d'importantes quantités d'Ether restaked. L'actif volé, rsETH, est une abstraction des positions d'ETH stakés qui sont réutilisées à travers des structures de finance décentralisée pour générer des rendements supplémentaires. Bien qu'efficace, cette composabilité peut entraîner un risque systémique plus important si l'infrastructure du pont est compromise.

Implications Plus Larges pour la Sécurité de la DeFi

De tels exploits mettent davantage en évidence le danger existant pour l'infrastructure DeFi inter-chaînes, où l'utilisation des protocoles de pont et du restaking se croise. Le blanchiment rapide des fonds via les protocoles DeFi démontre à la fois la force et le talon d'Achille de la DeFi : la finance sans permission. D'une part, les modèles de liquidité open source et de pontage permanent de la DeFi ne sont pas affectés par certains scénarios d'attaque, tels que les exploits existants sur les ponts de stablecoins actuels. Inversement, cette ouverture est également propice à être exploitée en tant que points d'accès critiques le long des canaux de flux illicites. Dans le même temps, le gel partiel via le système d'Arbitrum révèle comment les pouvoirs d'urgence sont de plus en plus entre les mains des conseils de sécurité décentralisés. Mais de telles mesures sont de plus en plus limitées dans leur efficacité par la rapidité avec laquelle les attaquants peuvent transférer des fonds sur plusieurs chaînes et couches de confidentialité.

Perspectives

Étant donné qu'une grande partie de la valeur volée a maintenant été dispersée sur plusieurs chaînes via des swaps inter-chaînes et des mixeurs de confidentialité, l'enquête se concentrera probablement sur les fonds gelés sous la gouvernance d'Arbitrum. Pour les enquêteurs, l'affaire met en lumière un problème bien connu dans la finance décentralisée : une fois qu'une grande quantité de fonds volés est rapidement pontée, échangée et anonymisée, l'opportunité de récupérer les gains illicites est limitée à des heures ou des jours au lieu de semaines.