Flertallet af Kelp DAO-midler fra exploit flyttet gennem THORChain

Kelp DAO-udnytteren er gået i gang med at hvidvaske næsten alt det stjålne ETH, så der kun er indefrosne midler inden for rækkevidde.

Ifølge blockchain-analytikeren EmberCN har angriberen ført cirka 75,700 ETH gennem den tværkædede likviditetsprotokol THORChain, konverteret aktiverne til Bitcoin og genereret omkring $910,000 i gebyrer til platformen. 

Angriberen begyndte at flytte midler tidligere på ugen, hvor midlerne blev fordelt på nyligt oprettede tegnebøger, før de blev sendt gennem THORChain og privatlivsværktøjet Umbra.

Arkham-data viser, at angriberens primære tegnebog nu stort set er tømt. 

Transaktionsflow peger på et klart forsøg på at lukke positioner frem for at beholde provenuet, idet Arkham bemærker, at “angriberne udfører en exit-strategi frem for at sidde på provenuet.”

Bevægelser gennem THORChain har gjort sporet sværere at følge og reduceret sandsynligheden for at få midlerne tilbage.

På tidspunktet for offentliggørelsen er kun en del af de stjålne aktiver indeholdt. 

Arbitrums sikkerhedsråd har frosset 30,766 ETH knyttet til udnyttelsen og overført dem til en mellemliggende tegnebog, hvor de kun kan tilgås via governance-godkendelse. 

Netværket sagde, at indgrebet blev gennemført uden at forstyrre driften, og tilføjede, at det handlede “med input fra retshåndhævende myndigheder om udnytterens identitet”, samtidig med at det prioriterede økosystemets integritet.

Hvidvaskning indsnævrer vinduet for tilbagevinding

Fem dage tidligere havde angriberen tømt omkring 116,500 restakede Ether fra Kelp DAO's LayerZero-baserede bro, en udnyttelse vurderet til mellem $290 millioner og $293 millioner på det tidspunkt. 

En del af disse aktiver blev senere brugt i Aave, hvor angriberen stillede rsETH som sikkerhed for at låne mod protokollen.

Indsatsen for at begrænse eftervirkningerne er stadig i gang. 

“Vores prioritet er vores brugere, og enhver beslutning, vi træffer, sigter mod en ordnet tilbagevenden til normale markedsforhold og det bedst mulige resultat for alle involverede,” Aave-grundlægger Stani Kulechov sagde i et nyligt X-opslag. 

I mellemtiden har Kelp DAO-teamet bekræftet, at der arbejdes på en “egnet løsning” samtidig med, at man fokuserer på at beskytte brugere og “styrke protokollen.”

Indtil videre har de indledende inddæmningsforanstaltninger hjulpet med at begrænse nogle skader. Kelp DAO satte kontrakter på pause og blacklistede tegnebøger forbundet med angriberen, hvilket forhindrede yderligere 40,000 rsETH, med en værdi på cirka $95 millioner, i at blive tømt.

Efterforskninger af bruddet har peget på svagheder i broens sikkerhedsopsætning. 

Foreløbige fund fra LayerZero antydede, at kompromitterede RPC-noder tillod en falsk tværkædet besked at passere verifikation, med kritik rettet mod brugen af en 1-af-1 valideringskonfiguration. 

Kelp DAO har bestridt den påstand og hævdet, at opsætningen fulgte standarddokumentationen og tidligere var bekræftet som passende.