Portfele powiązane z atakiem na Kelp DAO, w wyniku którego skradziono około 292 miliony dolarów, rozpoczęły, jak się wydaje, próbę prania skradzionych środków po tym, jak sieć Ethereum Layer 2 Arbitrum zamroziła część aktywów.

Według badacza blockchain ZachXBT, około 1,5 miliona dolarów zostało przeniesionych z sieci głównej Ethereum do Bitcoin poprzez THORChain, a kolejne około 78 000 dolarów przekierowano przez protokół prywatności Umbra.

Co ważne, inni analitycy onchain sugerują, że wysiłki w zakresie prania pieniędzy mogą być już znacznie większe.

Firma zajmująca się bezpieczeństwem blockchain PeckShield podała, że osoba dokonująca ataku zaczęła przenosić około 176 milionów dolarów skradzionych środków przez THORChain, Umbra, Chainflip i BitTorrent. Analitycy onchain Ember CN podkreślili, że po zamrożeniu środków przez Arbitrum, atakujący zaczął przenosić około 75 700 ETH, czyli około 175 milionów dolarów, poza sieć Ethereum, w tym mniejsze transfery kierowane przez Umbra.

Szacunki te nie zostały niezależnie potwierdzone przez Kelp DAO ani LayerZero.

Saga Kelp DAO trwa

Ta aktualizacja oznacza nową fazę jednego z największych ataków DeFi w tym roku.

Po awaryjnych zamrożeniach i obwinianiu się nawzajem o projekt mostu, kluczowe staje się pytanie, ile skradzionych kryptowalut nadal można śledzić, zamrozić lub odzyskać.

Transfery do protokołów takich jak THORChain i Umbra nastąpiły krótko po tym, jak Rada Bezpieczeństwa Arbitrum zamroziła około 71 milionów dolarów ETH powiązanych z atakiem, co stanowi jedno z nielicznych konkretnych zwycięstw w powstrzymywaniu skutków w szerszym kontekście incydentu z Kelp DAO.

Sam atak został ujawniony po raz pierwszy w weekend, kiedy most rsETH Kelp DAO został naruszony na kwotę około 292 milionów dolarów, co szybko stało się głównym naruszeniem DeFi w kwietniu.

Ari Redbord, globalny dyrektor ds. polityki w TRM Labs, stwierdził w publicznym poście, że atakujący opróżnił około 116 500 rsETH, czyli około 18% krążącej podaży, po wywołaniu przepływu lzReceive LayerZero z wiadomością, która wydawała się sfałszowana.

Stamtąd incydent szybko się rozszerzył.

LayerZero później oświadczyło, że winnym jest prawdopodobnie północnokoreańska grupa Lazarus, argumentując, że atak umożliwiła konfiguracja z pojedynczym punktem awarii w ścieżce weryfikacji, podczas gdy Kelp DAO przerzuciło winę na architekturę wiadomości LayerZero.

Finansowe konsekwencje były równie ważne jak walka o ustalenie sprawców.

W dniach po ataku protokoły DeFi odczuły ryzyko związane z rsETH, pojawiły się obawy dotyczące jakości zabezpieczeń, presji na utrzymanie kursu i możliwych scenariuszy złych długów na rynkach pożyczek. Redbord stwierdził, że Aave, SparkLend, Fluid i Upshift wstrzymały lub ponownie oceniły ekspozycję związaną z rsETH, gdy użytkownicy pospieszyli z ograniczeniem ryzyka.

Bieżący problem sprawia, że ostatnia aktywność związana z praniem pieniędzy jest czymś więcej niż rutynowym przetasowaniem po ataku.

Gdy środki opuszczą oryginalne miejsce przestępstwa onchain i zaczną przekraczać łańcuchy do sieci Bitcoin lub narzędzi chroniących prywatność, ich odzyskanie staje się znacznie trudniejsze.

Aktualizacje od ZachXBT i innych sugerują, że proces ten już się rozpoczął.

Warto jednak zauważyć, że kwoty nowo zidentyfikowane w transferach za pośrednictwem Umbra i innych kanałów są nadal niewielkie w stosunku do całkowitej skradzionej sumy. Mają one jednak znaczenie, ponieważ pokazują, że atakujący już testują ścieżki wyjścia, a nie tylko siedzą na zyskach.

To prawdopodobnie ponownie skupia uwagę na wcześniejszym oknie reakcji. Zamrożenie przez Arbitrum pokazało, że część skradzionego ETH mogła zostać unieruchomiona. Nowe transfery przez THORChain i Umbra pokazują, że inne części już wkraczają na trudniejszy teren.