加密货币窃贼偷走了惊人的九位数金额，当局只得追查冻结的剩余金额

根据 The Defiant 引用的链上跟踪数据，Kelp DAO Hacker 几乎洗掉了与 4 月份的桥梁漏洞相关的约 2.2 亿美元的未冻结资金。分析师报告称，最初的剥削者钱包中只剩下约 170 万美元。通过多种注重隐私的服务进行的资金流动缩小了追踪个人交易的可能性。虽然一些资产仍然被冻结，但大部分解冻资金现在已经超出了直接追回的范围。在 Arbitrum 安理会于 4 月 20 日冻结部分被盗资产后不久，Kelp DAO 黑客就开始转移资金。根据 Arkham Intelligence 的数据，攻击者于 4 月 21 日将 75,701 ETH（价值约 1.75 亿美元）转移到新创建的以太坊地址中。这些转移被分配到三个钱包中。大约 50,700 ETH 转移到两个地址，另外 25,000 ETH 被发送到第三个钱包。这些转移标志着更广泛的洗钱活动的开始。链上调查员 ZachXBT 同日报告了第一笔跨链交易。他的调查结果显示，三笔 THORChain 转账总额约为 150 万美元。他还通过以太坊隐私协议 Umbra 确定了一笔价值约 78,000 美元的单独转账。随着活动的加速，THORChain 的交易量出现异常增长。每日掉期交易量达到约 3.94 亿美元，是正常水平的十倍多。安全公司 PeckShield 和 Cyvers 估计，在初始阶段，涉及 THORChain、Umbra 和 BitTorrent 的网络传输了约 1.76 亿美元。后来通过额外的追踪，洗钱模式变得更加清晰。链上分析师 Spectre 描述了使用 Wasabi CoinJoin 将以太币转移到比特币的过程。然后，这些资金通过龙卷风现金存款和取款周期返回以太坊。 Cyvers 还指出，攻击者的交易费用是提前准备好的。攻击者钱包在桥梁攻击发生前大约十小时通过 Tornado Cash 获得了资金。调查人员确定此设置是之前与朝鲜相关的 TraderTraitor 组织相关的一种方法。 Kelp DAO 黑客剩余的可收回资产很大程度上与 Arbitrum 冻结的 30,766 ETH 相关。这些资产价值约 7100 万美元，仍需接受法律诉讼。 5月1日，美国纽约南区地方法院发布了针对被冻结资产的限制令。该命令是在持有针对朝鲜的未付恐怖主义判决的家庭提交没收总额超过 8.77 亿美元的申请后发出的。另外，用户补救工作通过协议级措施取得进展。 Kelp 在与 DeFi United 联盟实施恢复计划后恢复了 rsETH 功能。参与者包括 Aave、Karak、EigenLayer 和 Kelp。恢复计划为受影响的用户恢复了大约 116,000 rsETH。与此同时，由于攻击者使用被盗的 rsETH 抵押品而产生的约 1.9 亿美元的坏账大部分通过 Aave 的安全模块被吸收。 LayerZero 的事件报告于 5 月 18 日发布，得到了 Mandiant、CrowdStrike 和 ZeroShadow 的支持，该报告将该漏洞归因于 TraderTraitor。该组织也称为 UNC4899，与更广泛的 Lazarus 组织有联系。由于几乎所有未冻结的资金现在都已被洗钱，剩余的追回重点集中在冻结资产和执法行动上，而不是直接钱包追踪。