KelpDAO запустили программу отмывания украденных средств, дневной объем THORChain вырос в 10 раз

Ончейн-аналитик Specter сообщает, что хакерская организация Северной Кореи TraderTraitor начала 22 апреля проводить операции по отмыванию средств, похищенных у KelpDAO, всего спустя три часа после заморозки примерно 30,766 ETH Комитетом по безопасности Arbitrum. Злоумышленники перекинули средства через мост THORChain в сеть Биткоина, что привело к тому, что дневной объем торгов превысил дневной средний показатель более чем в 10 раз.

Детали отмывания: три кошелька, методы смешивания и кроссчейн-переводы

（Источник：Arkham）

Злоумышленники разделили оставшиеся средства на три кошелька: первый удерживает около 25 тыс. ETH (около 57,60 млн долларов), второй — около 25,7 тыс. ETH (около 59,20 млн долларов), третий — сразу после получения средств начал отмывание; сейчас у него осталось лишь около 3,800 ETH (около 8 млн долларов).

Похищенные средства в процессе отмывания смешивались с незаконными доходами от хакерского инцидента BTC Turk (2025) и Bybit (2025). Это типичный шаблон действий организации TraderTraitor — за счет объединения средств из нескольких событий повышать сложность отслеживания on-chain. Specter отмечает, что, хотя ему удалось отследить 356 связанных адресов, в статистику все еще не включены некоторые промежуточные кошельки; общее число адресов, использованных в ходе процесса, превышает 400.

Цепной эффект атаки на KelpDAO: списания в Aave от «плохих долгов» до резкого падения DeFi TVL

Согласно анализу Messari, первопричина этой атаки заключается в конфигурации 1:1 DVN для LayerZero EndpointV2, которая позволяет злоумышленникам подделывать кроссчейн-сообщения. После компрометации двух узлов LayerZero DVN злоумышленники смоделировали уничтожение rsETH и инициировали несанкционированный выпуск 116,500 rsETH.

Негативные последствия быстро распространились по всей DeFi-экосистеме: оценка списаний в Aave составляет от 123,7 млн до 230,1 млн долларов, TVL упал примерно со 45,8 млрд долларов до 35,7 млрд долларов; общий DeFi TVL в течение 48 часов снизился более чем на 13 млрд долларов; токен AAVE упал примерно на 25%; рынок WETH достиг 100% загрузки и спровоцировал отток средств на 6,2 млрд долларов.

Меры реагирования на раннем этапе и план компенсации держателям rsETH

Основные меры включают: заморозку примерно 30,766 ETH Комитетом по безопасности Arbitrum; приостановку Kelp на мейннете и на уровне L2 всех контрактов rsETH; запрет LayerZero на дальнейшее использование конфигурации 1:1 DVN. Kelp сейчас рассматривает меры компенсации пропорциональных потерь держателям rsETH в размере 16%, однако Messari указывает, что это может повлиять на доверие пользователей пострадавших протоколов и динамику восстановления.

Часто задаваемые вопросы

Почему TraderTraitor выбрал THORChain в качестве канала отмывания?

THORChain — это не требующий разрешений кроссчейн-протокол ликвидности, который позволяет обменивать активы между различными блокчейнами и не требует прохождения KYC. Ранее в хакерском инциденте с Bybit TraderTraitor также применил тот же канал THORChain, что указывает на то, что это стало фиксированным шаблоном действий северокорейской хакерской организации после масштабных краж.

Почему отмывание средств потребовало смешать их с финансами из инцидентов Bybit и BTC Turk?

Смешивание средств — стандартный метод отмывания, при котором похищенные средства из нескольких событий объединяются, усложняя отслеживающим специалистам идентификацию исходного источника и принадлежности конкретных средств. Похищенные средства KelpDAO в процессе обращения через THORChain уже смешались с незаконными средствами из хакерских инцидентов 2025 года по BTC Turk и Bybit, образовав более трудноразвязываемую цепочку средств.

Как план компенсации потерь в размере 16% отразится на держателях rsETH?

Если план компенсации будет окончательно подтвержден, то держатели rsETH понесут примерно 16% потерь пропорционально своим позициям, то есть для держателя каждых 100 rsETH номинальная стоимость активов будет со скидкой примерно 16%. Механизм компенсации помогает частично смягчить потери пострадавших пользователей, но также может повлиять на скорость восстановления рыночного доверия к rsETH и протоколу Kelp в целом.