Atacul Kelp DAO: atacatorul a golit aproape întregi 293 milioane $ ETH, lăsând doar fonduri înghețate
Natalia Ivanov2026-05-06
După hack-ul Kelp DAO de 293 milioane de dolari, atacatorul a spălat rapid ETH prin THORChain și mixere, lăsând doar fondurile înghețate de pe Arbitrum recuperabile pe măsură ce opțiunile de urmărire dispar.
Atacatorul responsabil pentru atacul de aproximativ 293 de milioane de dolari asupra Kelp DAO ar fi executat o operațiune rapidă de spălare de fonduri, transferând aproape tot ETH-ul furat din circuitul normal de tranzacționare la câteva zile după jaf. Acest lucru a redus semnificativ opțiunile potențiale de recuperare la doar fondurile rămase înghețate sub guvernanța de securitate a Arbitrum.
Mișcarea Rapidă a Fondurilor Furate
Urmărirea blockchain-ului a indicat că atacatorul a început să distribuie fondurile furate marți, la doar câteva zile după exploatare (sâmbătă, când aproximativ 116.500 de Ether restaked (rsETH) au fost sifonate din protocolul bridge Kelp DAO bazat pe LayerZero). Depozitele furate valorau aproximativ între 290 și 293 de milioane de dolari la momentul respectiv.
Atacatorul a început prin a strânge aproximativ 75.700 ETH în portofele noi la o valoare de piață de aproximativ 175 de milioane de dolari la acea vreme. Acest pas, comun la începutul exploatărilor, servește la deconectarea tranzacției de exploatare de procesul de spălare a banilor.
Banii au fost apoi trimiși prin mai multe etape de anonimizare a numerarului, utilizând o serie de instrumente descentralizate de confidențialitate și lichiditate, în încercarea de a masca traseul tranzacțiilor și traseul proprietății.
Utilizarea THORChain și a Instrumentelor de Confidențialitate
Se crede că o mare parte din spălarea de bani a trecut prin THORChain, o rețea de lichiditate cross-chain care facilitează schimburile între lanțuri disparate fără a necesita contrapartide centrale. Pe baza analizei blockchain, se crede că atacatorul a schimbat o mare parte din Ether cu Bitcoin (BTC) pe platformă.
Această activitate intensă, care a generat miliarde de dolari (ROI de 211%) în comisioane de tranzacție pentru protocol (IOU, USDT și USDC), a arătat cum infrastructura fără permisiuni de lichiditate descentralizată fungibilă poate fi utilizată pentru volume mari ilicite. O estimare a valorii comisioanelor activității (aproximativ 910.000 $) subliniază impactul acesteia.
Chiar și după THORChain, o parte din fonduri au fost trimise printr-un alt protocol de mixare numit Umbra, care este construit folosind tehnologie confidențială. Acest strat suplimentar de ofuscare a îngreunat urmărirea fondurilor pentru investigatori și companii de analiză.
Începând de joi, fluxurile de informații blockchain de la Arkham au revelat că majoritatea fondurilor din portofelul etichetat inițial al atacatorului fuseseră golite, sugerând că „saga spălării banilor” era aproape de finalizare.
Semne ale unei Strategii de Ieșire Structurate
Platformele de inteligență on-chain precum Arkham au constatat că tiparele de mișcare erau caracteristice unei transmiteri rapide, mai degrabă decât unei dețineri pe termen lung.
În loc să păstreze banii furați în portofele identificabile, ceea ce ar putea provoca un efort de recuperare colaborativ împotriva atacatorului, banii au fost consolidați, transformați în diferite active, trecuți prin numeroase conturi deținătoare intermediare, toate într-un interval de timp foarte scurt.
Referindu-se la ritmul rapid și la designul tranzacțiilor, analiștii au subliniat că tranzacțiile par a fi efectuate cu motivul de a „încasa” (a transforma în fiat/bani reali), mai degrabă decât pentru a manipula piața sau a negocia o răscumpărare.
Fereastră de Recuperare Limitată: Fondurile Înghețate ale Arbitrum
Nu toate activele furate au fost convertite și sunt încă înghețate. Consiliul de securitate Arbitrum a înghețat aproximativ 30.766 ETH din fondurile interceptate de Binance după reintrare.
Aceste active au fost mutate într-un portofel intermediar care se află sub controlul guvernanței și nu poate fi mutat în prezent (fără aprobarea guvernanței la nivel de protocol).
Această tranșă înghețată este acum cea mai mare parte recuperabilă a exploatării, restul de ETH furat trecând deja prin propria serie de mixere și swap-uri cross-chain, obscurizând și mai mult originea sa.
Cum a Originat Exploit-ul
Atacul a vizat Kelp DAO, un protocol de restaking care utilizează derivate de staking lichid. Folosind vulnerabilități în sistemul său bridge rsETH interoperabil cu LayerZero, atacatorul a putut retrage cantități semnificative de Ether restaked.
Activul furat, rsETH, este o abstractizare a pozițiilor de ETH staked care sunt reutilizate în structurile de finanțare descentralizată pentru a genera randament suplimentar. Deși eficientă, această compozabilitate poate duce la un risc sistemic mai mare dacă infrastructura bridge este compromisă.
Implicații Mai Largi pentru Securitatea DeFi
Astfel de exploatări subliniază și mai mult pericolul existent pentru infrastructura DeFi cross-chain, unde utilizarea protocoalelor bridge și restaking-ul se intersectează. Spălarea rapidă a fondurilor prin protocoalele DeFi demonstrează atât puterea DeFi, cât și călcâiul său lui Ahile: finanțarea fără permisiuni.
Pe de o parte, modelele de lichiditate open-source și continuă prin bridge-uri ale DeFi sunt neafectate de anumite scenarii de atac, cum ar fi exploatările existente asupra bridge-urilor de stablecoin actuale. În schimb, această deschidere este, de asemenea, propice exploatării ca puncte de acces critice de-a lungul canalelor de flux ilicit.
În același timp, înghețarea parțială a sistemului de guvernanță Arbitrum relevă cum puterile de urgență se mută în mâinile consiliilor de securitate descentralizate. Dar astfel de măsuri sunt din ce în ce mai limitate în eficacitatea lor de rapiditatea cu care atacatorii pot plasa fonduri pe mai multe lanțuri și straturi de confidențialitate.
Perspective
Deoarece o mare parte din valoarea furată a fost acum răspândită pe mai multe lanțuri via swap-uri cross-chain și mixere de confidențialitate, investigația se va concentra probabil pe fondurile înghețate sub guvernanța Arbitrum.
Pentru investigatori, cazul subliniază o problemă binecunoscută în finanțarea descentralizată: odată ce o cantitate mare de fonduri furate este rapid transferată prin bridge-uri, schimbată și anonimizată, oportunitatea de a recupera câștigurile ilicite este limitată la ore sau zile, în loc de săptămâni.
