Carteiras ligadas ao exploit de aproximadamente US$ 292 milhões da Kelp DAO iniciaram o que parece ser uma tentativa de lavar os fundos roubados depois que a rede Ethereum Layer 2 Arbitrum congelou parte dos ativos.

Cerca de US$ 1,5 milhão foi movido da mainnet do Ethereum para o Bitcoin através da THORChain, e outros aproximadamente US$ 78.000 foram roteados através do protocolo de privacidade Umbra, de acordo com o investigador de blockchain ZachXBT.

Notavelmente, outros analistas onchain sugeriram que o esforço de lavagem de dinheiro pode já ser muito maior.

A empresa de segurança de blockchain PeckShield disse que o explorador havia começado a mover cerca de US$ 176 milhões em fundos roubados através da THORChain, Umbra, Chainflip e BitTorrent. Analistas onchain da Ember CN destacaram que o invasor começou a transferir cerca de 75.700 ETH, ou aproximadamente US$ 175 milhões, para fora do Ethereum após o congelamento da Arbitrum, incluindo transferências menores roteadas através da Umbra.

Essas estimativas não foram confirmadas independentemente pela Kelp DAO ou LayerZero.

A saga da Kelp DAO continua

A atualização marca uma nova fase em um dos maiores exploits de DeFi do ano.

Após congelamentos de emergência e acusações sobre o design da ponte, a questão de quanto do cripto roubado ainda pode ser rastreado, congelado ou recuperado é agora importante.

Transferências para protocolos como THORChain e Umbra chegam logo após o Conselho de Segurança da Arbitrum congelar cerca de US$ 71 milhões em ETH ligados ao ataque, uma das poucas vitórias concretas de contenção até agora no contexto mais amplo do exploit da Kelp DAO.

O exploit em si foi divulgado pela primeira vez no fim de semana, quando a ponte rsETH da Kelp DAO foi atingida em cerca de US$ 292 milhões, no que rapidamente se tornou a principal violação de DeFi de abril.

Ari Redbord, chefe global de política da TRM Labs, disse em uma publicação pública que o invasor drenou cerca de 116.500 rsETH, ou aproximadamente 18% da oferta circulante, depois de chamar o fluxo lzReceive da LayerZero com o que parecia ser uma mensagem forjada.

A partir daí, o incidente se expandiu rapidamente.

A LayerZero disse mais tarde que o Grupo Lazarus da Coreia do Norte era o provável culpado e argumentou que o exploit foi possibilitado por uma configuração de ponto único no caminho de verificação, enquanto a Kelp DAO jogou a culpa de volta para a arquitetura de mensagens da LayerZero.

O impacto financeiro tem sido tão importante quanto a disputa pela atribuição da culpa.

Nos dias após o ataque, protocolos DeFi sentiram o risco em cascata em torno do rsETH, com preocupações surgindo sobre a qualidade das garantias, pressão de paridade e possíveis cenários de dívida incobrável em mercados de empréstimo. Redbord afirmou que Aave, SparkLend, Fluid e Upshift agiram para pausar ou reavaliar a exposição relacionada ao rsETH, enquanto os usuários se apressavam para reduzir o risco.

A questão em andamento torna a mais recente atividade de lavagem de dinheiro mais do que uma rotina pós-hack.

Uma vez que os fundos saem da cena do crime onchain original e começam a atravessar cadeias para trilhos de Bitcoin ou ferramentas de preservação de privacidade, a recuperação tende a se tornar materialmente mais difícil.

Atualizações de ZachXBT e outros sugerem que o processo já está em andamento.

No entanto, é importante notar que os valores recém-identificados em transferências via Umbra e outros canais ainda são pequenos em relação ao montante total. Mas eles importam porque mostram que os invasores já estão testando rotas de saída, e não apenas aguardando com os lucros.

Isso, sem dúvida, coloca um foco renovado na janela de resposta inicial. O congelamento da Arbitrum mostrou que parte do ETH roubado ainda poderia ser imobilizada. As novas transferências da THORChain e Umbra mostram que outras partes já estão entrando em um território mais difícil.