Вор криптовалюты скрылся с ошеломляющей девятизначной суммой, властям пришлось гоняться за замороженным остатком

Согласно данным отслеживания цепочки, приведенным The Defiant, Kelp DAO Hacker отмыл почти все из примерно 220 миллионов долларов США, незамороженных средств, связанных с апрельским эксплойтом моста. Аналитики сообщают, что в первоначальных кошельках эксплуататоров осталось всего около $1,7 млн. Движение средств через несколько сервисов, ориентированных на конфиденциальность, сузило возможность отслеживания отдельных транзакций. Хотя некоторые активы остаются замороженными, большая часть размороженных средств уже вышла за рамки прямого восстановления. Хакер Kelp DAO начал переводить средства вскоре после того, как 20 апреля Совет безопасности Arbitrum заморозил часть украденных активов. Согласно данным Arkham Intelligence, 21 апреля злоумышленник перевел 75 701 ETH на сумму около 175 миллионов долларов на вновь созданные адреса Ethereum. Переводы были разделены на три кошелька. Около 50 700 ETH были переведены на два адреса, а еще 25 000 ETH были отправлены на третий кошелек. Эти переводы положили начало более широкой операции по отмыванию денег. В тот же день сетевой следователь ZachXBT сообщил о первых межсетевых транзакциях. Его выводы показали, что три перевода THORChain на общую сумму около 1,5 миллиона долларов. Он также обнаружил отдельный перевод на сумму около 78 000 долларов США через протокол конфиденциальности Ethereum Umbra. По мере того как активность активизировалась, объем торгов THORChain значительно увеличился. Ежедневный объем свопов достиг примерно 394 миллионов долларов США, что более чем в десять раз превышает обычный уровень. По оценкам охранных фирм PeckShield и Cyvers, на начальном этапе через сеть с участием THORChain, Umbra и BitTorrent прошло около 176 миллионов долларов. Схема отмывания позже стала более ясной благодаря дополнительному отслеживанию. Ончейн-аналитик Spectre описал процесс перевода эфира в биткойн с помощью Wasabi CoinJoin. Затем средства были направлены обратно в Ethereum через циклы ввода и вывода Tornado Cash. Сайверс также отметил, что комиссии злоумышленника за транзакцию были подготовлены заранее. Кошелек эксплуататора получил финансирование через Tornado Cash примерно за десять часов до атаки на мост. Следователи определили эту схему как метод, ранее связанный с группой TraderTraitor, связанной с Северной Кореей. Оставшиеся возмещаемые активы Kelp DAO Hacker в значительной степени привязаны к 30 766 ETH, замороженным Arbitrum. Эти активы оцениваются примерно в 71 миллион долларов и по-прежнему подлежат судебному разбирательству. 1 мая Окружной суд Южного округа Нью-Йорка издал запретительный судебный приказ, касающийся замороженных активов. Приказ последовал за заявлением о конфискации активов семьями, имеющими неоплаченные судебные решения по делу о терроризме против Северной Кореи на общую сумму более 877 миллионов долларов. Кроме того, усилия по исправлению ситуации со стороны пользователей продолжались посредством мер на уровне протокола. Kelp восстановил функциональность rsETH после реализации плана восстановления с консорциумом DeFi United. Среди участников были Aave, Karak, EigenLayer и Kelp. Программа восстановления восстановила примерно 116 000 rsETH пострадавшим пользователям. Между тем, около 190 миллионов долларов безнадежного долга, образовавшегося в результате использования злоумышленником украденного обеспечения rsETH, были поглощены в основном благодаря модулю безопасности Aave. В отчете об инциденте LayerZero, опубликованном 18 мая при поддержке Mandiant, CrowdStrike и ZeroShadow, эксплойт был приписан TraderTraitor. Группа, также известная как UNC4899, связана с более широкой группой Lazarus. Поскольку почти все незамороженные средства теперь отмыты, оставшиеся средства восстановления сосредоточены на замороженных активах и правоприменительных мерах, а не на прямом отслеживании кошельков.