Ladrón de criptomonedas se lleva una asombrosa suma de nueve cifras y las autoridades se quedan para perseguir el resto congelado

Kelp DAO Hacker ha lavado casi la totalidad de los aproximadamente 220 millones de dólares en fondos descongelados vinculados al exploit del puente de abril, según datos de seguimiento en cadena citados por The Defiant. Los analistas informan que sólo quedan alrededor de 1,7 millones de dólares en las carteras originales de los explotadores. El movimiento de fondos a través de varios servicios centrados en la privacidad ha reducido la posibilidad de rastrear transacciones individuales. Si bien algunos activos siguen congelados, la mayor parte de los fondos descongelados ya no se encuentran en los esfuerzos de recuperación directa. El Kelp DAO Hacker comenzó a transferir fondos poco después de que el Consejo de Seguridad de Arbitrum congelara parte de los activos robados el 20 de abril. Según datos de Arkham Intelligence, el atacante transfirió 75.701 ETH, valorados en unos 175 millones de dólares, a direcciones Ethereum recién creadas el 21 de abril. Las transferencias se dividieron en tres carteras. Alrededor de 50.700 ETH se movieron a dos direcciones, mientras que otros 25.000 ETH se enviaron a una tercera billetera. Estas transferencias marcaron el comienzo de una operación de lavado más amplia. El investigador en cadena ZachXBT informó las primeras transacciones entre cadenas el mismo día. Sus hallazgos mostraron tres transferencias de THORChain por un total de alrededor de 1,5 millones de dólares. También identificó una transferencia separada por valor de aproximadamente $78,000 a través del protocolo de privacidad de Ethereum Umbra. A medida que la actividad se aceleró, THORChain experimentó un aumento inusual en el volumen de operaciones. El volumen diario de swaps alcanzó aproximadamente 394 millones de dólares, más de diez veces su nivel normal. Las empresas de seguridad PeckShield y Cyvers estimaron que alrededor de 176 millones de dólares pasaron a través de una red que involucraba a THORChain, Umbra y BitTorrent durante la fase inicial. El patrón de lavado se hizo más claro posteriormente gracias a un seguimiento adicional. El analista en cadena Specter describió un proceso que trasladó Ether a Bitcoin utilizando Wasabi CoinJoin. Luego, los fondos se enrutaron nuevamente a Ethereum a través de los ciclos de depósito y retiro de Tornado Cash. Cyvers también señaló que las tarifas de transacción del atacante se prepararon con anticipación. La billetera del explotador recibió financiación a través de Tornado Cash aproximadamente diez horas antes del ataque al puente. Los investigadores identificaron esta configuración como un método previamente asociado con el grupo TraderTraitor vinculado a Corea del Norte. Los activos recuperables restantes de Kelp DAO Hacker están vinculados en gran medida a los 30,766 ETH congelados por Arbitrum. Esas participaciones están valoradas en aproximadamente 71 millones de dólares y siguen sujetas a procedimientos legales. El 1 de mayo, el Tribunal de Distrito de los Estados Unidos para el Distrito Sur de Nueva York emitió una orden de restricción que cubre los activos congelados. La orden se produjo tras una presentación de decomiso por parte de familias que tenían sentencias impagas por terrorismo contra Corea del Norte por un total de más de 877 millones de dólares. Por otra parte, los esfuerzos de remediación de los usuarios avanzaron a través de medidas a nivel de protocolo. Kelp restauró la funcionalidad de rsETH después de implementar un plan de recuperación con el consorcio DeFi United. Los participantes incluyeron Aave, Karak, EigenLayer y Kelp. El programa de recuperación restauró aproximadamente 116.000 rsETH a los usuarios afectados. Mientras tanto, los aproximadamente 190 millones de dólares en deudas incobrables creadas mediante el uso por parte del atacante de garantía rsETH robada se absorbieron en gran medida a través del módulo de seguridad de Aave. El informe del incidente de LayerZero, publicado el 18 de mayo con el apoyo de Mandiant, CrowdStrike y zeroShadow, atribuyó el exploit a TraderTraitor. El grupo, también conocido como UNC4899, está vinculado al Grupo Lazarus en general. Ahora que casi todos los fondos descongelados han sido lavados, el resto de la atención de la recuperación se centra en los activos congelados y las acciones coercitivas en lugar del rastreo directo de billeteras.