Связанные с северокорейской группой TraderTraitor хакеры отмыли почти все $220 миллионов размороженных средств, украденных в ходе эксплойта моста Kelp DAO в апреле 2026 года, фактически завершив прямые усилия по восстановлению. Злоумышленники провели активы через сложную сеть, включающую THORChain, Wasabi CoinJoin, Tornado Cash и Umbra, оставив лишь около $1,7 миллиона, которые удаётся отследить в исходных кошельках, по данным on-chain аналитиков. Операция по отмыванию последовала за уязвимостью моста LayerZero, в результате которой было похищено примерно $292 миллиона, при этом Security Council Arbitrum заморозил $71 миллион в эквиваленте ETH, а оставшиеся $220 миллионов оставались доступными для атакующих. Сложная переброска средств демонстрирует растущие возможности поддерживаемых государством акторов угроз в навигации по нескольким блокчейнам и протоколам приватности. Инцидент подчёркивает сохраняющиеся уязвимости мостов, на фоне того как криптоиндустрия сталкивается с волной крупных атак на кроссчейн-инфраструктуру.
TraderTraitor Group отмыла $220M через многоцепочечные сети приватности
Эксплойт Kelp DAO произошёл в апреле 2026 года и привёл к похищению примерно $292 миллионов через уязвимость моста LayerZero. После атаки Security Council Arbitrum заморозил примерно $71 миллион в эквиваленте ETH, однако оставшиеся $220 миллионов оставались доступными для атакующих.
По сообщениям Arkham Intelligence и других блокчейн-расследователей хакеры проводили средства через сложную сеть отмывания, включающую THORChain, Wasabi CoinJoin, Tornado Cash и Umbra. Сейчас следователи оценивают, что в исходных кошельках осталось лишь $1,7 миллиона.
On-chain данные показывают, что атакующие перевели более 75 000 ETH в недавно созданные кошельки. Далее средства перемещались через несколько платформ, ориентированных на приватность, и кроссчейн-сервисов. Аналитики заявили, что операция объединила сервисы миксинга Bitcoin с инструментами приватности Ethereum, что существенно усложнило отслеживание транзакций.
Использование THORChain привлекло особое внимание, поскольку, как сообщается, протокол обрабатывал необычно высокие объёмы, пока украденные активы перемещались между сетями. Исследователи безопасности связали атаку с TraderTraitor — северокорейской хакерской группой, также известной как UNC4899. Ранее эту группу связывали с несколькими крупными кражами криптовалют.
Arbitrum заморозил $71M в рамках правовых процедур
Замороженные средства остаются потенциальным источником восстановления. Заморозка Arbitrum заблокировала примерно $71 миллион в ETH вскоре после атаки. Однако теперь эти активы оказались задействованы в продолжающихся судебных разбирательствах.
Семьи, имеющие решения по делам о терроризме против Северной Кореи, подали иски, связанные с замороженными средствами. В результате финальный исход остаётся неопределённым.
Kelp DAO завершил восстановление пользователей и мигрировал на Chainlink CCIP
Kelp DAO завершил процесс восстановления пользователей после эксплойта. Протокол перевёл rsETH-операции бриджа на Chainlink CCIP и работал с партнёрами в индустрии, чтобы восстановить доступ пострадавшим пользователям.
Инцидент содержит важные уроки как для разработчиков, так и для инвесторов. За последние несколько месяцев криптоиндустрия пережила волну крупных атак, нацеленных на мосты, провайдеров инфраструктуры и DeFi-протоколы. Инциденты с Radiant, Wormhole и Kelp DAO выявили критические слабые места безопасности.
Для разработчиков атака подтверждает необходимость более надёжной защиты мостов, многоуровневых систем валидации и улучшенных инструментов мониторинга. Для инвесторов эксплойт подчёркивает растущие риски, связанные с кроссчейн-инфраструктурой.
Увеличение вовлечённости групп, поддерживаемых государством, также усиливает опасения относительно будущих попыток восстановления. Когда украденные активы проходят через несколько цепочек и сервисов приватности, вернуть средства становится значительно сложнее.
FAQ
Что произошло в эксплойте Kelp DAO в апреле 2026 года?
Эксплойт Kelp DAO произошёл в апреле 2026 года через уязвимость моста LayerZero, что привело к похищению примерно $292 миллионов. Security Council Arbitrum заморозил примерно $71 миллион в эквиваленте ETH, а оставшиеся $220 миллионов оставались доступными для атакующих, идентифицированных как северокорейская группа TraderTraitor (также известная как UNC4899).
Как хакеры отмыли украденные средства Kelp DAO?
Атакующие провели средства через сложную сеть отмывания, включая THORChain, Wasabi CoinJoin, Tornado Cash и Umbra. On-chain данные показывают, что злоумышленники перевели более 75 000 ETH в недавно созданные кошельки и объединили сервисы миксинга Bitcoin с инструментами приватности Ethereum. Отслеживаемыми в исходных кошельках остаются лишь примерно $1,7 миллиона.
Каков статус $71 миллиона, замороженных Arbitrum?
$71 миллион в ETH, замороженные Security Council Arbitrum вскоре после атаки, остаются вовлечёнными в продолжающиеся судебные разбирательства. Семьи, имеющие решения по делам о терроризме против Северной Кореи, подали иски, связанные с замороженными средствами, и финальный исход остаётся неопределённым.
