Mehrheit der bei Kelp DAO erbeuteten Gelder über THORChain verschoben

Der Angreifer bei Kelp DAO hat begonnen, nahezu alle gestohlenen ETH zu waschen und lässt nur noch die eingefrorenen Mittel erreichbar.

Laut Blockchain-Analyst EmberCN hat der Angreifer etwa geleitet rund 75.700 ETH über das Cross-Chain-Liquiditätsprotokoll THORChain, die Vermögenswerte in Bitcoin umgewandelt und dabei ungefähr $910.000 an Gebühren für die Plattform generiert. 

Der Angreifer begann Anfang dieser Woche mit den Transfers, wobei die Mittel auf neu erstellte Wallets verteilt wurden, bevor sie über THORChain und das Privacy-Tool Umbra umgeschleust wurden.

Daten von Arkham zeigen, dass die Hauptwallet des Angreifers inzwischen weitgehend geleert ist. 

Die Transaktionsflüsse deuten deutlich auf den Versuch hin, Positionen zu schließen, statt die Erlöse zu halten; Arkham stellte fest, dass „die Angreifer eine Exit-Strategie umsetzen, anstatt auf den Erlösen sitzen zu bleiben.“

Die Bewegung über THORChain hat die Spur schwerer nachverfolgbar gemacht und verringert die Wahrscheinlichkeit, die Mittel zurückzugewinnen.

Zum Zeitpunkt der Veröffentlichung sind nur Teile der gestohlenen Vermögenswerte noch eingedämmt. 

Der Sicherheitsrat von Arbitrum hat 30.766 ETH eingefroren, die mit dem Exploit in Verbindung stehen, und in eine Zwischenwallet transferiert, auf die nur per Governance-Zustimmung zugegriffen werden kann. 

Das Netzwerk erklärte, die Intervention sei ohne Unterbrechung des Betriebs durchgeführt worden, und fügte hinzu, dass es „in Abstimmung mit den Strafverfolgungsbehörden hinsichtlich der Identität des Ausnutzers“ gehandelt habe, wobei die Integrität des Ökosystems Priorität hatte.

Gewaschene Mittel verengen das Zeitfenster zur Rückführung

Fünf Tage zuvor hatte der Angreifer rund 116.500 neu gestakte Ether aus der LayerZero-basierten Bridge von Kelp DAO abgezogen, ein Exploit, der zum Zeitpunkt des Vorfalls zwischen $290 Mio. und $293 Mio. bewertet wurde. 

Ein Teil dieser Vermögenswerte wurde später in Aave eingesetzt, wo der Angreifer rsETH als Sicherheiten hinterlegte, um gegen das Protokoll Kredite aufzunehmen.

Die Maßnahmen zur Eindämmung der Auswirkungen dauern weiterhin an. 

„Unsere Priorität sind unsere Nutzer, und jede Entscheidung, die wir treffen, zielt auf eine geordnete Rückkehr zu normalen Marktbedingungen und das bestmögliche Ergebnis für alle Beteiligten ab“, sagte Aave-Gründer Stani Kulechov in einem jüngsten X-Beitrag. 

Derweil bestätigte das Kelp-DAO-Team, dass an einer „geeigneten Lösung“ gearbeitet werde, wobei der Schwerpunkt auf dem Schutz der Nutzer und der „Stärkung des Protokolls“ liege.

Bisher haben erste Eindämmungsmaßnahmen geholfen, einige Schäden zu begrenzen. Kelp DAO setzte Verträge aus und setzte Wallets, die mit dem Angreifer in Verbindung stehen, auf eine Blacklist, wodurch ein weiterer Abfluss von 40.000 rsETH im Wert von rund $95 Mio. verhindert wurde.

Untersuchungen zum Sicherheitsbruch deuten auf Schwachstellen in der Sicherheitskonfiguration der Bridge hin. 

Vorläufige Erkenntnisse von LayerZero legen nahe, dass kompromittierte RPC-Nodes es einer betrügerischen Cross-Chain-Nachricht ermöglichten, die Verifizierung zu passieren; die Kritik richtete sich auf die Verwendung einer 1-von-1-Validierungskonfiguration. 

Kelp DAO hat diese Darstellung bestritten und argumentiert, dass die Konfiguration der Standarddokumentation entsprochen habe und zuvor als angemessen bestätigt worden sei.