Wallets die in verband worden gebracht met de exploitatie van ongeveer $292 miljoen van Kelp DAO, zijn begonnen met wat een poging lijkt om de gestolen fondsen wit te wassen, nadat het Ethereum Layer 2-netwerk Arbitrum een deel van de activa bevroor.

Ongeveer $1,5 miljoen werd verplaatst van het Ethereum mainnet naar Bitcoin via THORChain, en nog eens ongeveer $78.000 werd gerouteerd via privacyprotocol Umbra, volgens blockchain-onderzoeker ZachXBT.

Opmerkelijk is dat andere onchain-analisten suggereerden dat de witwasactiviteit mogelijk al veel groter is.

Blockchain-beveiligingsbedrijf PeckShield zei dat de exploiter was begonnen met het verplaatsen van ongeveer $176 miljoen aan gestolen fondsen via THORChain, Umbra, Chainflip en BitTorrent. Onchain-analisten Ember CN benadrukten dat de aanvaller ongeveer 75.700 ETH, of ongeveer $175 miljoen, van Ethereum was begonnen te verschuiven na Arbitrums bevriezing, inclusief kleinere overdrachten gerouteerd via Umbra.

Die schattingen zijn niet onafhankelijk bevestigd door Kelp DAO of LayerZero.

De saga van Kelp DAO gaat verder

De update markeert een nieuwe fase in een van de grootste DeFi-exploits van het jaar.

Na noodbevriezingen en beschuldigingen over het brugontwerp is de vraag hoeveel van de gestolen crypto nog kan worden getraceerd, bevroren of teruggevonden, nu van belang.

Overdrachten naar protocollen zoals THORChain en Umbra vinden plaats kort nadat de Veiligheidsraad van Arbitrum ongeveer $71 miljoen aan ETH bevroor die verband hield met de aanval, wat een van de weinige concrete succesvolle inperkingen is tot nu toe in de bredere Kelp DAO-nasleep.

De exploit zelf werd voor het eerst openbaar gemaakt in het weekend, toen de rsETH-brug van Kelp DAO werd getroffen voor ongeveer $292 miljoen, in wat al snel de belangrijkste DeFi-inbreuk van april werd.

Ari Redbord, wereldwijd hoofd van beleid bij TRM Labs, zei in een openbaar bericht dat de aanvaller ongeveer 116.500 rsETH, of ongeveer 18% van de circulerende voorraad, heeft leeggehaald na het aanroepen van LayerZero's lzReceive-stroom met wat een vervalst bericht leek te zijn.

Vanaf dat moment breidde het incident zich snel uit.

LayerZero zei later dat de Lazarus Group uit Noord-Korea de waarschijnlijke dader was en stelde dat de exploit mogelijk werd gemaakt door een single-point-configuratie in het verificatiepad, terwijl Kelp DAO de schuld teruglegde bij LayerZero's berichtarchitectuur.

De financiële gevolgen zijn net zo belangrijk geweest als de strijd om de schuldtoewijzing.

In de dagen na de aanval kregen DeFi-protocollen te maken met het domino-effect van risico's rond rsETH, waarbij zorgen ontstonden over de kwaliteit van onderpand, peg-druk en mogelijke scenario's met slechte schulden op de leenmarkten. Redbord verklaarde dat Aave, SparkLend, Fluid en Upshift allemaal overgingen tot het pauzeren of opnieuw beoordelen van rsETH-gerelateerde blootstelling, aangezien gebruikers zich haastten om risico's te verminderen.

Het aanhoudende probleem maakt de meest recente witwasactiviteit meer dan een routineuze shuffle na een hack.

Zodra fondsen de oorspronkelijke onchain plaats delict verlaten en beginnen met het oversteken van chains naar Bitcoin-rails of privacybehoudende tools, wordt herstel aanzienlijk moeilijker.

Updates van ZachXBT en anderen suggereren dat het proces nu aan de gang is.

Het is echter belangrijk op te merken dat de bedragen die nieuw zijn geïdentificeerd bij overdrachten via Umbra en andere kanalen nog steeds klein zijn in vergelijking met de totale buit. Maar ze zijn belangrijk omdat ze laten zien dat de aanvallers al bezig zijn met het testen van uitwegroutes, en niet alleen op de opbrengst zitten.

Dit legt aantoonbaar een hernieuwde focus op het eerdere responstijdvenster. De Arbitrum-bevriezing toonde aan dat een deel van de gestolen ETH nog steeds kon worden geïmmobiliseerd. De nieuwe THORChain- en Umbra-overdrachten laten zien dat andere delen al wegglippen naar moeilijker terrein.