لص عملات مشفرة يهرب بمبلغ مذهل مكون من تسعة أرقام، وتترك السلطات لمطاردة البقية المجمدة

جدول المحتويات: قام Kelp DAO Hacker بغسل ما يقرب من 220 مليون دولار من الأموال غير المجمدة المرتبطة باستغلال الجسر في أبريل، وفقًا لبيانات التتبع الموجودة على السلسلة التي استشهدت بها The Defiant. يشير المحللون إلى أنه لم يتبق سوى حوالي 1.7 مليون دولار فقط في محافظ المستغل الأصلية. أدت حركة الأموال من خلال العديد من الخدمات التي تركز على الخصوصية إلى تضييق إمكانية تتبع المعاملات الفردية. وفي حين أن بعض الأصول لا تزال مجمدة، فإن الجزء الأكبر من الأموال غير المجمدة قد تجاوز الآن جهود الاسترداد المباشرة. بدأ Kelp DAO Hacker في تحويل الأموال بعد فترة وجيزة من قيام مجلس الأمن التابع لشركة Arbitrum بتجميد جزء من الأصول المسروقة في 20 أبريل. ووفقًا لبيانات Arkham Intelligence، قام المهاجم بتحويل 75,701 ETH، بقيمة تبلغ حوالي 175 مليون دولار، إلى عناوين Ethereum التي تم إنشاؤها حديثًا في 21 أبريل. وتم تقسيم التحويلات عبر ثلاث محافظ. تم نقل حوالي 50,700 ETH إلى عنوانين، بينما تم إرسال 25,000 ETH أخرى إلى محفظة ثالثة. كانت عمليات النقل هذه بمثابة بداية لعملية غسيل واسعة النطاق. أبلغ المحقق عبر السلسلة ZachXBT عن أول معاملات عبر السلسلة في نفس اليوم. وأظهرت النتائج التي توصل إليها ثلاث عمليات تحويل من THORChain يبلغ مجموعها حوالي 1.5 مليون دولار. كما حدد أيضًا تحويلاً منفصلاً بقيمة 78000 دولار تقريبًا من خلال بروتوكول خصوصية Ethereum Umbra. ومع تسارع النشاط، شهدت THORChain ارتفاعًا غير عادي في حجم التداول. وبلغ حجم المبادلة اليومية ما يقرب من 394 مليون دولار، أي أكثر من عشرة أضعاف مستواه الطبيعي. وقدرت شركتا الأمن PeckShield وCyvers أن حوالي 176 مليون دولار مرت عبر شبكة تضم THORChain وUmbra وBitTorrent خلال المرحلة الأولية. أصبح نمط غسيل الأموال أكثر وضوحًا فيما بعد من خلال التتبع الإضافي. وصف المحلل على السلسلة Specter العملية التي نقلت الأثير إلى Bitcoin باستخدام Wasabi CoinJoin. تم بعد ذلك توجيه الأموال مرة أخرى إلى Ethereum من خلال دورات إيداع وسحب Tornado Cash. وأشار سايفرز أيضًا إلى أن رسوم معاملات المهاجم تم إعدادها مسبقًا. تلقت المحفظة المستغلة التمويل من خلال Tornado Cash قبل عشر ساعات تقريبًا من الهجوم على الجسر. حدد المحققون هذا الإعداد باعتباره طريقة مرتبطة سابقًا بمجموعة TraderTraitor المرتبطة بكوريا الشمالية. ترتبط أصول Kelp DAO Hacker المتبقية القابلة للاسترداد إلى حد كبير بـ 30,766 ETH التي تم تجميدها بواسطة Arbitrum. وتقدر قيمة هذه الممتلكات بنحو 71 مليون دولار وتظل خاضعة للإجراءات القانونية. في الأول من مايو، أصدرت المحكمة الجزئية الأمريكية للمنطقة الجنوبية من نيويورك أمرًا تقييديًا يغطي الأصول المجمدة. جاء هذا الأمر في أعقاب دعوى مصادرة قدمتها عائلات أصدرت أحكامًا غير مدفوعة الأجر تتعلق بالإرهاب ضد كوريا الشمالية بقيمة إجمالية تزيد عن 877 مليون دولار. بشكل منفصل، تقدمت جهود إصلاح المستخدم من خلال التدابير على مستوى البروتوكول. استعاد Kelp وظيفة rsETH بعد تنفيذ خطة الاسترداد مع اتحاد DeFi United. وكان من بين المشاركين Aave وKarak وEigenLayer وKelp. استعاد برنامج الاسترداد ما يقرب من 116000 rsETH للمستخدمين المتأثرين. وفي الوقت نفسه، تم استيعاب ما يقرب من 190 مليون دولار من الديون المعدومة التي نشأت من خلال استخدام المهاجم لضمانات rsETH المسروقة إلى حد كبير من خلال وحدة الأمان في Aave. وقد نسب تقرير حادثة LayerZero، الذي نُشر في 18 مايو بدعم من Mandiant وCrowdStrike وzeroShadow، الاستغلال إلى TraderTraitor. المجموعة، المعروفة أيضًا باسم UNC4899، مرتبطة بمجموعة Lazarus الأوسع. ومع غسل جميع الأموال غير المجمدة تقريبًا، فإن التركيز المتبقي على الاسترداد يتركز على الأصول المجمدة وإجراءات الإنفاذ بدلاً من التتبع المباشر للمحفظة.