北韓債權人尋求扣押遭 Arbitrum 凍結的 Kelp DAO ETH

在 5 月 1 日，代表遭受恐怖主義受害者、且對北韓有未獲滿足判決的律師，向 Arbitrum DAO 送達禁制令通知，該通知禁止轉移 30,766 ETH（約 7,110 萬美元），而這筆資金是 Arbitrum 安全委員會在 4 月 20 日於 Kelp DAO 被駭事件後凍結的。根據 The Block 的說法，原告正嘗試將遭凍結的資金作為財產予以扣押，認為該資金屬於北韓具有利害關係的資產，依據的理論是：該資金係由 Lazarus Group 代為 Pyongyang 盜取。

法律行動與判決背景

紐約南區美國地方法院授權送達禁制令通知。此案由 Gerstein Harrow LLP 代表 Han Kim 與 Yong Seok Kim 提起，兩人是美國公民；他們的家人、牧師 Kim Dong-shik 博士在中國遭到綁架，並被北韓代理人殺害。

禁制令通知彙整了針對北韓民主人民共和國（DPRK）的三項既有未獲滿足判決：

• Han Kim 與 Yong Seok Kim 案：美國哥倫比亞特區地方法院在 2015 年作出裁決，對 DPRK 產生約 3.3 億美元的缺席判決。
• Kaplan v. DPRK：約 1.69 億美元，係基於指稱 DPRK 在 2006 年黎巴嫩戰爭期間，對真主黨向以色列北部發射火箭攻擊提供了實質支持。
• Calderon-Cardona v. DPRK：3.78 億美元，與 1972 年 Lod 機場攻擊案有關；該案由日本赤軍成員執行，導致 26 人死亡，其中包括 17 名波多黎各基督徒朝聖者。

三項判決加總的面值超過 8.77 億美元，且在較早案件中，判後利息累計已超過十年。

法律策略依據《外國主權免責法》（Foreign Sovereign Immunities Act）與《恐怖主義風險保險法》（Terrorism Risk Insurance Act）。兩者合起來允許恐怖主義國家贊助者的判決債權人，扣押由該政權或其機構與工具所持有的財產。通知中點名 APT-38 以及 Lazarus Group 為 DPRK 的工具。

Kelp DAO 被駭事件與歸因

LayerZero 將 Kelp DAO 橋接漏洞攻擊歸因於北韓的國家支持型 Lazarus Group；該同一個集團也被連結至 2022 年 Ronin Network 與 2025 年 Bybit 的駭客事件。Arbitrum 安全委員會在追蹤資金至由 Kelp DAO 被駭者控制的地址後，凍結了 30,766 ETH。

DeFi United 投票狀態

Arbitrum DAO 於 4 月 30 日在 Snapshot 發起了一項溫度檢查（temperature check），該提案由 Aave Labs 撰寫，聯合作者包括 Kelp DAO、LayerZero、EtherFi 與 Compound；目標是將被凍結的 ETH 送往 DeFi United，這是一個在駭客事件後組織的跨協定救助基金。投票將於 5 月 7 日結束。

該提案將指示資金交由一個 4 其中 3 的 Gnosis Safe 進行共同簽署；簽署方包括 Aave、Kelp DAO、EtherFi，外加鏈上安全公司 Certora。該安全機制被指定僅用於接收追回的 ETH，並將其用於恢復 rsETH 的經濟支撐。自發佈時刻起，超過 99% 的投票目前贊成該提案。

Aave 的提案也包含一項無上限的補償條款（indemnification clause），由 Aave Labs 提供，涵蓋 Arbitrum 基金會、Offchain Labs 以及個別安全委員會成員，以應對因凍結或釋放而產生的任何申索。至於這種私下補償是否對正在進行的禁制令通知有任何效力，仍看起來是個未解之問。

社群反應與法律批評

區塊鏈偵查員 ZachXBT 在 X 上批評原告的策略，表示：「這是一家掠奪性的美國律師事務所，其策略純粹邪惡。」ZachXBT 指出，該事務所似乎會在 Lazarus Group 發動利用事件時，反覆嘗試將被凍結的加密資產扣押到數十年前的 DPRK 判決上；他提到其在 Harmony 與 Bybit 案中的嘗試。

Yearn 貢獻者 banteg 另在一篇貼文中主張，DAO 完全有權直接無視該命令，因為資金的來源可追溯且乾淨，來自 Kelp 與 LayerZero 的被駭受害者。他敦促負責起草回收提案的 Aave 及其他相關方：「跳過任何中介的多重簽名（multisigs），並直接將資金移至回收合約」，這可能有助於迴避對個別簽署者施加壓力。

Gerstein Harrow 之前已採用過版本相近的策略。該事務所曾在先前訴訟中主張，DAO 應被視為未註冊的協會（unincorporated associations），因此其個別成員可能因該實體的作為而承擔責任；至少已有一位聯邦法官允許依據此一理論繼續審理申索。

未解的法律問題

就法律立場而言，接下來四天內，Arbitrum 的代表（delegate）群體面前仍有兩個未解問題：第一，對 DeFi United 提案投下「贊成」票的 ARB 持有人，是否實際上能被個別追究其後續轉移的個人責任。第二，在一種回收情境中，若被竊取的加密資產可同時追溯到立即的被利用受害者，亦可追溯到先前就已存在未獲滿足判決的受制裁國家贊助者，那麼哪一組債權人擁有較佳主張。