केल्प DAO हैक: हमलावर ने लगभग सभी $293M ETH निकाल लिए, केवल फंसे हुए फंड ही बचे हैं
Natalia Ivanov2026-05-06
$293M Kelp DAO हैक के बाद, हमलावर ने तेजी से ETH को THORChain और मिक्सर्स के माध्यम से धोया, केवल जमाए गए Arbitrum फंड ही पुनः प्राप्त योग्य रह गए क्योंकि ट्रेसिंग विकल्प कम हो रहे हैं।
लगभग $293 मिलियन के केल्प डीएओ (Kelp DAO) हैक के लिए जिम्मेदार हमलावर ने कथित तौर पर एक त्वरित-लॉन्ड्रिंग ऑपरेशन को अंजाम दिया है, जिसमें लूट के दिनों बाद सांख्यिकीय ट्रेडिंग गतिविधि से लगभग सभी पिघले हुए ETH को स्थानांतरित कर दिया गया। इसने संभावित रिकवरी विकल्पों को आर्बिट्रम (Arbitrum) के सुरक्षा शासन में शेष जमे हुए फंड तक ही सीमित कर दिया है।
चुराए गए फंड का तेजी से मूवमेंट
ब्लॉकचेन ट्रैकिंग से पता चला कि हमलावर ने मंगलवार को चोरी किए गए फंड को वितरित करना शुरू कर दिया था, शोषण के कुछ ही दिनों बाद (शनिवार को जब केल्प डीएओ लेयरज़ीरो-आधारित ब्रिज प्रोटोकॉल से लगभग 116,500 रीस्टेक्ड इथेर (rsETH) को निकाल लिया गया था)। उस समय चोरी की गई जमा राशि लगभग $290 मिलियन से $293 मिलियन डॉलर की थी।
हमलावर ने लगभग 75,700 ETH को नए वॉलेट में इकट्ठा करके शुरुआत की, जिसकी उस समय मार्केट वैल्यू लगभग $175 मिलियन थी। शोषण की शुरुआत में यह सामान्य कदम, एक्सप्लॉइट ट्रांजेक्शन को लॉन्ड्रिंग प्रक्रिया से अलग करने का काम करता है।
फिर पैसे को कई कॉर्नर्ड कैश स्टेट्स के माध्यम से भेजा गया, जिसमें लेन-देन के निशान और स्वामित्व के निशान को छिपाने के प्रयास में विकेन्द्रीकृत गोपनीयता और तरलता उपकरणों की एक श्रृंखला का उपयोग किया गया।
थॉरचेन (THORChain) और गोपनीयता उपकरणों का उपयोग
लांड्रिंग का एक बड़ा हिस्सा थॉरचेन (THORChain) के माध्यम से पारित होने की संभावना है, जो एक क्रॉस-चेन तरलता नेटवर्क है जो केंद्रीय प्रतिपक्षों की आवश्यकता के बिना अलग-अलग चेनों के बीच स्वैप की सुविधा प्रदान करता है। ब्लॉकचेन विश्लेषण के आधार पर, हमलावर ने मंच पर ईथर का एक बड़ा हिस्सा बिटकॉइन (BTC) के लिए एक्सचेंज किया था।
इस स्व-पूर्ति गतिविधि ने प्रोटोकॉल (IOU, USDT, और USDC) के लिए अरबों डॉलर (211% ROI) के लेनदेन शुल्क को आकर्षित किया, जिससे पता चला कि कैसे फंजिबल विकेन्द्रीकृत तरलता के अनुमति-मुक्त बुनियादी ढांचे का उपयोग अवैध उच्च मात्रा के लिए किया जा सकता है। गतिविधि के शुल्क मूल्य का अनुमान (लगभग $910,000) इसके प्रभाव को रेखांकित करता है।
थॉरचेन के बाद भी, कुछ फंड्स को एक और मिक्सिंग प्रोटोकॉल उमब्रा (Umbra) के माध्यम से भेजा गया था, जिसे गोपनीय तकनीक का उपयोग करके बनाया गया है। अस्पष्टता की इस अतिरिक्त परत ने जांचकर्ताओं और विश्लेषणात्मक कंपनियों के लिए फंड को ट्रैक करना और भी मुश्किल बना दिया।
गुरुवार तक, आर्खम (Arkham) से ब्लॉकचेन इंटेलिजेंस फीड्स ने खुलासा किया कि हमलावर के मूल रूप से टैग किए गए वॉलेट में अधिकांश फंड निकाल लिए गए थे, जिससे यह संकेत मिलता है कि इसकी "मनी-लॉन्ड्रिंग गाथा" पूरा होने के करीब थी।
एक संरचित निकास रणनीति के संकेत
आर्खम जैसे ऑन-चेन इंटेलिजेंस प्लेटफॉर्म ने आंदोलन पैटर्न को एक हैंड-ऑफ की विशेषता पाया, न कि लंबी अवधि के होल्ड की।
पहचान योग्य वॉलेट में चुराए गए पैसे को रखने के बजाय, जिससे हमलावर के खिलाफ एक सहयोगी रिकवरी प्रयास हो सकता था, पैसे को समेकित किया गया, संपत्तियों में बदल दिया गया, कई मध्यवर्ती होल्डिंग खातों के माध्यम से पारित किया गया, यह सब बहुत कम समय के भीतर हुआ।
लेन-देन की तीव्र गति और डिजाइन का जिक्र करते हुए, विश्लेषकों ने बताया कि लेन-देन बाजार में हेरफेर करने या फिरौती के लिए बातचीत करने के बजाय "कैश आउट" करने के मकसद से किए गए प्रतीत होते हैं।
सीमित रिकवरी विंडो: आर्बिट्रम के जमे हुए फंड
चोरी की गई सभी संपत्तियां परिवर्तित नहीं हुई हैं और अभी भी जमी हुई हैं। आर्बिट्रम सुरक्षा परिषद ने पुन: प्रवेश के बाद बिनेंस फेच के लगभग 30,766 ETH को फ्रीज कर दिया।
इन संपत्तियों को एक मध्यवर्ती वॉलेट में ले जाया गया जो शासन नियंत्रण में है और इस समय स्थानांतरित करने की अनुमति नहीं है (प्रोटोकॉल स्तर के शासन के पारित होने के बिना)।
यह जमी हुई किश्त अब शोषण का सबसे बड़ा पुनर्प्राप्त करने योग्य टुकड़ा है, जिसमें शेष चोरी किया गया ETH पहले ही मिक्सर और क्रॉस-चेन स्वैप की अपनी श्रृंखला से गुजर चुका है, जिससे इसकी उत्पत्ति और भी अस्पष्ट हो गई है।
कैसे हुई इस शोषण की उत्पत्ति
यह हमला केल्प डीएओ (Kelp DAO) के खिलाफ था, जो लिक्विड स्टेकिंग डेरिवेटिव्स का उपयोग करने वाला एक रीस्टेकिंग प्रोटोकॉल है। इसके लेयरज़ीरो-इंटरोपबरेबल rsETH ब्रिज सिस्टम में खामियों का उपयोग करके, हमलावर महत्वपूर्ण मात्रा में रीस्टेक्ड इथेर निकाल सकता था।
चोरी की गई संपत्ति, rsETH, स्टेक्ड ETH पोजीशन का एक एब्स्ट्रैक्शन है जिसे विकेन्द्रीकृत वित्त संरचनाओं में आगे की यील्ड अर्जित करने के लिए पुन: उपयोग किया जाता है। हालांकि कुशल, यदि ब्रिज इन्फ्रास्ट्रक्चर से समझौता किया जाता है तो यह कंपोज़ेबिलिटी बड़े प्रणालीगत जोखिम को जन्म दे सकती है।
डीएफआई (DeFi) सुरक्षा के लिए व्यापक निहितार्थ
ऐसे शोषण क्रॉस-चेन डीएफआई (DeFi) इन्फ्रास्ट्रक्चर के लिए मौजूदा खतरे को और उजागर करते हैं, जहां ब्रिज प्रोटोकॉल और रीस्टेकिंग का उपयोग एक-दूसरे को काटता है। डीएफआई प्रोटोकॉल के माध्यम से फंडों का तेजी से साफ होना डीएफआई की ताकत और उसकी अकिलीज़ हील (कमजोर कड़ी) दोनों को दर्शाता है: अनुमति-मुक्त वित्त।
एक ओर, डीएफआई के ओपन सोर्स और पर्मा-ब्रिजिंग लिक्विडिटी मॉडल कुछ हमले के परिदृश्यों से अप्रभावित रहते हैं जैसे कि वर्तमान स्टेबलकॉइन ब्रिजेस पर मौजूदा शोषण। इसके विपरीत, यह खुलापन अवैध प्रवाह चैनलों के साथ महत्वपूर्ण पहुंच बिंदुओं के रूप में शोषण के लिए भी अनुकूल है।
साथ ही, आर्बिट्रम कोर्ट सिस्टम का आंशिक फ्रीज यह दर्शाता है कि आपातकालीन शक्तियां विकेन्द्रीकृत सुरक्षा परिषदों के हाथों में कैसे जा रही हैं। लेकिन ऐसे उपाय उनकी प्रभावकारिता में तेजी से सीमित होते जा रहे हैं कि हमलावर कितनी तेजी से कई चेनों और गोपनीयता परतों पर फंड डाल सकते हैं।
आउटलुक
चूंकि चुराई गई अधिकांश राशि अब क्रॉस-चेन स्वैप और प्राइवेसी मिक्सर के माध्यम से कई चेनों में फैल गई है, इसलिए जांच संभवतः आर्बिट्रम शासन के तहत जमे हुए फंडों तक सीमित हो जाएगी।
जांचकर्ताओं के लिए, यह मामला एक ऐसी समस्या को उजागर करता है जो विकेन्द्रीकृत वित्त में अच्छी तरह से ज्ञात है: एक बार जब बड़ी मात्रा में चोरी किए गए फंडों को तेजी से ब्रिज किया जाता है, स्वैप किया जाता है और अनाम किया जाता है, तो अवैध लाभों को पुनर्प्राप्त करने का अवसर हफ्तों के बजाय घंटों या दिनों तक सीमित हो जाता है।
