Atakujący odpowiedzialny za hack Kelp DAO o wartości około 293 milionów dolarów rzekomo przeprowadził szybką operację prania pieniędzy, przenosząc prawie całe skradzione ETH poza statystyczną aktywność handlową w ciągu kilku dni po kradzieży. To znacznie zmniejszyło potencjalne możliwości odzyskania środków do jedynie pozostałych zamrożonych funduszy w zarządzaniu bezpieczeństwem Arbitrum.<h2>Szybki Ruch Skradzionych Funduszy</h2>Śledzenie blockchain wykazało, że atakujący rozpoczął dystrybucję skradzionych środków we wtorek, zaledwie kilka dni po eksploitacji (w sobotę, kiedy około 116 500 restakowanego Etheru (rsETH) zostało wyprowadzonych z protokołu mostowego Kelp DAO opartego na LayerZero). Skradzione depozyty były w tym czasie warte od 290 do 293 milionów dolarów. Atakujący rozpoczął od zgromadzenia około 75 700 ETH w nowych portfelach przy ówczesnej wartości rynkowej około 175 milionów dolarów. Ten krok, typowy na początku exploitów, służy do odłączenia transakcji exploitacyjnej od procesu prania pieniędzy. Pieniądze zostały następnie przesłane przez kilka ukrytych kanałów gotówkowych, wykorzystując szereg zdecentralizowanych narzędzi prywatności i płynności w celu zamaskowania śladu transakcji i śladu własności.<h2>Wykorzystanie THORChain i Narzędzi Prywatności</h2>Uważa się, że duża część prania pieniędzy odbyła się za pośrednictwem THORChain, międzyłańcuchowej sieci płynności, która ułatwia swapy między różnymi łańcuchami bez potrzeby centralnych kontrahentów. Na podstawie analizy blockchain, podejrzewa się, że atakujący wymienił dużą część Etheru na Bitcoin (BTC) na tej platformie. Ta samonapędzająca się aktywność, która wygenerowała miliardy dolarów (211% ROI) opłat transakcyjnych dla protokołu (IOU, USDT i USDC), pokazała, jak bezpozwoleniowa infrastruktura wymiennej zdecentralizowanej płynności może być wykorzystana do nielegalnych działań na dużą skalę. Szacunkowa wartość opłat z tej aktywności (około 910 000 dolarów) podkreśla jej wpływ. Nawet po THORChain, część środków została przesłana przez inny protokół miksujący o nazwie Umbra, który jest zbudowany w oparciu o technologię poufną. Ta dodatkowa warstwa zaciemnienia utrudniła śledzenie środków przez śledczych i firmy analityczne. Według danych wywiadu blockchain z Arkham, na dzień czwartek ujawniono, że większość środków z portfela początkowo oznaczonego jako należący do atakującego została opróżniona, sugerując, że jego „saga prania pieniędzy” zbliżała się do końca.<h2>Oznaki Ustrukturyzowanej Strategii Wyjścia</h2>Platformy wywiadu on-chain, takie jak Arkham, uznały wzorce ruchu za charakterystyczne dla przekazania (środków), a nie długoterminowego utrzymywania (środków). Zamiast przechowywać skradzione pieniądze w możliwych do zidentyfikowania portfelach, co mogłoby doprowadzić do wspólnych działań odzyskiwania środków przeciwko atakującemu, pieniądze zostały skonsolidowane, przekształcone w różne aktywa, przekazane przez liczne pośrednie konta przejściowe, wszystko w bardzo krótkim czasie. Odnosząc się do szybkiego tempa i struktury transakcji, analitycy wskazali, że transakcje wydają się być przeprowadzane z motywem „spieniężenia”, a nie manipulacji rynkiem czy negocjowania okupu.<h2>Ograniczone Okno Odzyskania: Zamrożone Fundusze Arbitrum</h2>Nie wszystkie skradzione aktywa zostały przekonwertowane i nadal są zamrożone. Rada bezpieczeństwa Arbitrum zamroziła około 30 766 ETH ze środków z Binance po ponownym wejściu. Aktywa te zostały przeniesione do pośredniego portfela, który znajduje się pod kontrolą zarządzania (governance) i nie mogą być obecnie przeniesione (bez zatwierdzenia przez zarządzanie na poziomie protokołu). Ta zamrożona transza jest obecnie największą możliwą do odzyskania częścią exploitów, ponieważ pozostałe skradzione ETH przeszło już przez własną serię mikserów i międzyłańcuchowych swapów, dodatkowo zaciemniając ich pochodzenie.<h2>Jak Powstała Eksploitacja</h2>Atak był skierowany przeciwko Kelp DAO, protokołowi restakingu wykorzystującemu płynne instrumenty pochodne stakingu. Wykorzystując luki w jego kompatybilnym z LayerZero systemie mostu rsETH, atakujący mógł wypłacić znaczne ilości restakowanego Etheru. Skradziony aktyw, rsETH, jest abstrakcją pozycji stakowanego ETH, które są ponownie wykorzystywane w zdecentralizowanych strukturach finansowych w celu uzyskania dodatkowych zysków. Chociaż jest to efektywne, ta kompozycyjność może prowadzić do większego ryzyka systemowego, jeśli infrastruktura mostu zostanie naruszona.<h2>Szersze Konsekwencje dla Bezpieczeństwa DeFi</h2>Takie exploity dodatkowo podkreślają istniejące zagrożenie dla międzyłańcuchowej infrastruktury DeFi, gdzie krzyżuje się wykorzystanie protokołów mostowych i restakingu. Szybkie pranie funduszy przez protokoły DeFi demonstruje zarówno siłę DeFi, jak i jego piętę achillesową: bezpozwoleniowe finanse. Z jednej strony, modele płynności DeFi oparte na otwartym kodzie źródłowym i stałym mostkowaniu są odporne na niektóre scenariusze ataków, takie jak istniejące exploity na obecnych mostach stablecoinów. Odwrotnie, ta otwartość sprzyja również wykorzystywaniu jako krytycznych punktów dostępu w nielegalnych kanałach przepływu środków. Jednocześnie, częściowe zamrożenie w systemie zarządzania Arbitrum ujawnia, jak uprawnienia awaryjne przechodzą w ręce zdecentralizowanych rad bezpieczeństwa. Jednak takie środki są coraz bardziej ograniczone w swojej skuteczności przez to, jak szybko atakujący mogą przesyłać środki na wiele łańcuchów i warstw prywatności.<h2>Perspektywy</h2>Ponieważ duża część skradzionej wartości została już rozprzestrzeniona na wiele łańcuchów za pośrednictwem międzyłańcuchowych swapów i mikserów prywatności, dochodzenie prawdopodobnie zawęzi się do zamrożonych funduszy pod zarządzaniem Arbitrum. Dla śledczych sprawa ta podkreśla problem dobrze znany w zdecentralizowanych finansach: gdy duża ilość skradzionych środków zostanie szybko przesłana mostem, wymieniona i zanonimizowana, możliwość odzyskania nielegalnych zysków jest ograniczona do godzin lub dni, a nie tygodni.

Po ataku na Kelp DAO o wartości 293 mln USD, napastnik szybko przeprowadził pranie ETH za pośrednictwem THORChain i mikserów, pozostawiając do odzyskania jedynie zamrożone środki na Arbitrum, gdy możliwości śledzenia zanikają.

Atak na Kelp DAO: napastnik wypompowuje prawie wszystkie 293 mln USD w ETH, pozostawiając tylko zamrożone środki

/media/contribution/car7cca855be207479089c0bed33c804071/yqd_0507185414747.stxt

Kast zatrudnia byłą urzędniczkę SEC, Stephanie Allen, na stanowisko kierownika ds. komunikacji politycznej

/media/contribution/card85f52cd0bf24832967ff7558a9232a6/ze3_0507172850853.stxt

Szybki przewodnik dla początkujących po handlu kontraktami terminowymi na LBank

/media/contribution/car53657f5df81a46aaa62c15253631838b/mb5_0507185811096.stxt

Prawda o kryptowalutach i twoich podatkach — to, co Scott Bessent właśnie powiedział Kongresowi, zszokuje Bitcoin

/media/contribution/car6aab590c11eb4eb5b0e482feb46d25c5/g3e_0507172209472.stxt

Sankcjonowana giełda Grinex wstrzymuje handel po kradzieży o wartości 13,7 mln USD

/media/contribution/car7e267414288c4f769119384d4a45d799/dsm_0507171334279.stxt

Cathie Wood z ARK prognozuje, że kapitalizacja rynkowa Bitcoina osiągnie 16 bilionów dolarów

/media/contribution/car2acdab889f754524b9eacb348740c80e/zgd_0507173442339.stxt