Печально известные хакеры отмывают украденные средства Kelp DAO, скрывая след в 220 миллионов долларов в анонимайзерах криптовалюты

Киберпреступники, связанные с северокорейской операцией TraderTraitor, успешно отмыли практически все доступные криптовалюты на сумму 220 миллионов долларов, украденные во время взлома безопасности Kelp DAO в апреле 2026 года. Согласно данным разведки блокчейна от Arkham Intelligence, только 1,7 миллиона долларов все еще можно отследить в исходных криптовалютных кошельках злоумышленников. Хакер Kelp DAO отмыл почти все 220 миллионов долларов незамороженных средств, закрыв окно восстановления. Согласно The Defiant, данные отслеживания в сети показывают, что хакеры, стоящие за эксплойтом моста Kelp DAO, идентифицированные как северокорейская группа угроз TraderTraitor, отмыли… pic.twitter.com/UlCj44BTa4 — Wu Blockchain (@WuBlockchain) 2 июня 2026 г. Компрометация безопасности была предпринята Это произошло 18 апреля 2026 года, когда злоумышленники извлекли 116 500 токенов rsETH, воспользовавшись уязвимостью в конфигурации моста LayerZero компании Kelp DAO. Совокупные убытки составили примерно 292–293 миллиона долларов, что способствовало ошеломляющим апрельским случаям кражи криптовалюты на сумму 630 миллионов долларов. Процесс отмывания денег проходил в два основных этапа. Первоначально злоумышленники конвертировали украденные активы в биткойны с помощью службы переворачивания Wasabi CoinJoin, а затем конвертировали их обратно в Ethereum, а затем перенаправляли через Tornado Cash. В течение этого периода в THORChain наблюдался аномально высокий объем транзакций. Украденная криптовалюта также прошла через Umbra — протокол, предназначенный для анонимных транзакций. Этот многоуровневый подход, сочетающий инструменты обфускации Биткойна с механизмами конфиденциальности Эфириума, создал серьезные препятствия для следователей-криминалистов, пытающихся проследить за денежным следом. Экспертиза блокчейна показала, что злоумышленники быстро перевели более 75 000 ETH в только что созданные кошельки сразу после нарушения безопасности. Впоследствии эти активы были фрагментированы и распределены по многочисленным сетям блокчейнов и сервисам анонимизации. Исследователи кибербезопасности приписали атаку TraderTraitor, альтернативно обозначенному как UNC4899. Этот спонсируемый северокорейским государством злоумышленник за последние годы был замешан в многочисленных громких ограблениях криптовалют. LayerZero опубликовала заявление 20 апреля, в котором разъяснилось, что уязвимость возникла из-за конкретного выбора реализации Kelp DAO. Протокол настроил единственный LayerZero DVN в качестве эксклюзивного пути проверки, что противоречит установленным рекомендациям по безопасности в отношении таких конфигураций. Вся операция по отмыванию завершилась примерно через шесть недель. Аналитики безопасности указывают, что возможность вернуть доступные средства практически истекла. 21 апреля Совет безопасности Arbitrum внедрил экстренное замораживание примерно 71 миллиона долларов США в ETH. И директива федерального суда, и голосование руководства сообщества санкционировали перевод этих активов в кошелек с несколькими подписями, управляемый Aave, предназначенный для компенсации жертвам rsETH. Тем не менее, семьи, получившие судебные решения против Северной Кореи по делам, связанным с терроризмом, подали конкурирующие иски против этих замороженных активов. Судебное слушание по определению законного права собственности было назначено на пятницу в Нью-Йорке. Разрешение этих судебных разбирательств остается неопределенным. Замороженная криптовалюта в размере 71 миллиона долларов теперь представляет собой единственный реальный способ прямого восстановления средств. Статистика кражи криптовалюты продемонстрировала резкое улучшение в мае, упав до 68,3 миллиона долларов, что составляет почти 90% снижение по сравнению с апрельскими показателями, согласно данным CertiK. В течение мая было успешно возвращено или добровольно возвращено около 9,4 миллиона долларов. Несмотря на это улучшение, взлом Kelp DAO вызвал масштабную переоценку безопасности во всей экосистеме DeFi. В течение трех недель после эксплойта и Solv Protocol, и Tydro завершили миграцию на Chainlink CCIP. Kelp DAO аналогичным образом перевела свои мостовые операции rsETH на Chainlink CCIP, отказавшись от LayerZero. Kelp DAO успешно завершила программу вознаграждения пользователей. Заключительное распределение 20 373,7 токенов rsETH было передано в смарт-контракт LayerZero в рамках пятинедельной инициативы по реституции, как документально подтверждено Cointelegraph. Тем не менее, сама украденная криптовалюта в основном исчезла в сложной инфраструктуре перекрестного отмывания денег, проникновение в которую, по мнению следователей, чрезвычайно сложно.